校园网无线路由器的安全设置及常见问题解决方法

　　摘 要：目前，无线路由器在高校办公网络中越来越广泛地使用，随之而来的无线信号安全问题不可小觑，同时在使用过程中，不可避免地出现各种各样的故障。本文先简述无线路由器及无线网络安全设置，接着联系本校办公网络用户经常遇到的实际问题，并给出了问题的具体解决方法。 　　关键词：无线路由器；安全设置；故障解决 　　随着无线网络的发展，高校校园网需联网的台式电脑、笔记本电脑、平板电脑、手机等上网设备数量逐渐增多，同一办公室的办公用户涉及到多台电脑要同时上网，还有平板电脑、手机等设备也需要通过WIFI信号无线上网。目前我校还没有建设校园无线网络，原有固定的网口数量显得严重不足，这就需要用户通过无线路由器扩展端口上网。据我所知，目前我校办公网络后添置了大量无线路由器，虽然大多数无线路由器后台管理已经有“设置向导”功能，有的还配有安装设置图解说明书，可是对于第一次接触路由器的办公用户来说，还有的人比较茫然，不知所措，在使用过程中也会出现这样那样的问题。鉴于此，本文结合本校实际，先介绍一下如何在校园办公网络设置无线路由器，然后分析一下常见问题的现象及其解决办法。 　　1 校园网无线路由器设置 　　一般情况下，在路由器背面的铭牌上会标有该路由器的初始IP地址，最常见的有：192.168.1.1或者192.168.0.1，初始的用户名、密码一般都为admin（建议用户修改默认的用户名、密码）。为了更加安全起见，可以限制能进行远程web管理路由器的电脑或者直接禁止远程管理。 　　WAN口的连接类型常见的有三种：ADSL虚拟拨号（PPPoE）、动态IP、静态IP。选择PPPoE方式在家庭网络比较常见，在我们校园网基本上都是选用动态IP（一般新购置的路由器默认就是动态IP，即自动获取地址，只要连线正确，在校园网就可以实现有线上网）。 　　2 校园网路由器无线网络的安全设置 　　在使用无线路由器的无线上网功能前，首先需要开启无线状态，为了无线信号安全，有必要修改无线路由器的默认设置，包括IP地址、用户名、密码、SSID等。无线路由器一般需要针对以下几个方面进行安全设置。 　　2.1 无线密码设置 　　为了安全起见，办公用户一定要设置无线安全密码，路由器中常见的加密方式有三种：WEP、WPA/WPA2和WPA-PSK/WPA2-PSK，个人建议最好选择WPA-PSK/WPA2-PSK（基于共享密钥的WPA模式）的加密方式，此种加密方式的安全性较高，同时设置也比较简单。 　　2.2 MAC地址、IP地址的过滤 　　除了设置无线密码防止别人蹭网外，MAC地址、IP地址过滤也是可行的。可以把允许使用该无线路由器上网设备的MAC地址、IP地址添加到相应的地址过滤列表中。 　　2.3 更改SSID、禁止SSID广播 　　开启路由器的SSID广播功能，可以方便办公用户上网设备自动接收并连接SSID号，一般同一生产厂家的路由器都具有相同的SSID，这样就给蹭网者提供了便利。所以对于上网用户比较固定的校园办公网络来说，个人认为完全没有必要启用SSID广播，取而代之用手工直接添加SSID号建立连接，添加后搜索该无线并连接，如果第一次手动添加连接成功的话，以后再用就会自动连接该无线SSID，这样相对来说就比较安全。 　　2.4 禁用DHCP 　　路由器DHCP功能可以为校园办公用户上网设备自动获取IP地址等相关信息，无需用户手动配置，如果启用该功能，其他人就比较容易接入该无线网络，存在一定的安全隐患。因此，禁用DHCP功能对增强无线网络的安全性不言而喻。 　　3 校园网无线路由器常见故障及其解决办法 　　3.1 无线传输速率慢 　　在无线路由器使用集中的办公区域，由于彼此之间会存在信号干扰，导致无线传输速率偏慢。 　　解决办法：重新设置无线信号的信道，这样在一定程度上避免与附近其它办公室的无线路由的信道互相冲突，干扰无线信号强度，影响网络速度。此外，无线信号强弱还与无线路由器放置的位置存在一定的关系，最好把无线路由器放到无线局域网的中心且在较高的位置上。 　　3.2 办公电脑无法从无线路由器上获取IP地址 　　由于办公用户使用的路由器大都是低端的无线路由器，如果放置的位置通风不是很好，会引起路由器散热不好；还有的下班忘记关闭路由器的电源，路由器持续不断地工作，都会使路由器温度过高，导致路由器死机现象。从而连接该路由器的办公用户不能正常地获取到IP地址上网。 　　故障解决：先把路由器断电数秒，然后再通电，故障解决。最好购置性能稳定的路由器，且放置在通风较好的地方，下班时记得切断路由器电源。 　　3.3 办公网络每隔一段时间就会掉线 　　首先应该考虑一下所在的办公局域网是否受到ARP攻击，ARP攻击原理是通过伪造IP和MAC地址，从而实现ARP欺骗，感染ARP病毒的电脑能够短时间通过路由器在局域网中产生大量的ARP数据包，从而导致网络阻塞，上网掉线频繁。 　　解决办法：在局域网交换机上show arp查看，此时会发现同一地址段的电脑对应相同的MAC地址，再show mac-address-table进一步找到该MAC地址对应的交换机端口，随即shut down该端口，这样接在该端口下路由器就停止向外发送ARP数据包，办公局域网网络恢复正常。 　　针对ARP攻击是可以预防的，虽然普通的路由器一般不具备防范ARP攻击功能，但是对于办公电脑如果能及时安装微软ARP补丁（KB891861），同时可以下载安装具有局域网防护（ARP）功能的木马防火墙，这样电脑就对ARP攻击就有“免疫力”。 　　3.4 无线路由器级联可能导致无法上网 　　笔者曾遇到过用户由于使用两个路由器级联（例如有A和B两个无线路由器，A在B的前面一级，A的LAN口接一根线到B的WAN口）出现无法上网的现象：B路由器WAN口一直在自动获取地址状态，始终获取不到，导致上网设备不能够正常联网。后来尝试把进线（接B路由器WAN口的网线）直接插到电脑上，可以上网。仔细查看该电脑获取的地址为192.168.1.X，默认网关为：192.168.1.1，由此可知，A路由器的IP地址为192.168.1.1。此时发现A和B路由器IP相同，都为192.168.1.1，断定是由于IP地址冲突导致连接B路由器的上网设备不能正常上网。 　　解决办法：进入B路由器的管理界面，把B路由器的IP地址改为192.168.0.1。重新接回原处，发现B路由器WAN口可以自动获取到地址，连接B路由器上网设备可以正常上网。 　　3.5 在办公室使用路由器进行无线网络覆盖时，会发现稍偏的地方信号差，上网很慢，甚至会出现信号盲点 　　解决办法：为了增加办公区域无线网络的覆盖范围，提高无线传输速速率，解决无线信号盲区问题，可以开启无线路由器的WDS（无线分布式系统）功能。 　　假设无线路由器A与B建立WDS连接。先登进A路由器管理界面，设置并记录其SSID号、信道、无线加密设置相关信息。登进B路由器，修改其LAN口IP地址为192.168.1.3（区别于A路由器192.168.1.1）。开启A路由器的WDS功能，点击“扫描”，搜索办公区域的无线信号，在搜索到的信号列表中选择B路由器的SSID号，点击“连接”，同时将B路由器的信道、加密信息设置成与A路由器相同，关闭B路由器的DHCP功能，保存设置，重启B路由器，这样B路由器配置完成，此时无线路由器A与B已经成功建立WDS。 　　3.6 校园网无线路由器回路导致网络瘫痪 　　在我们学校办公网，偶尔有个别用户使用路由器因为接线不正确而构成网络回路（常见的是一个路由器上其中两个LAN口用网线直接连接），从而导致其他用户不能够正常上网，打不开网页，故障范围会涉及整个局域网，导致网络瘫痪，影响学校正常的办公教学。 　　解决办法：查看交换机端口状况，找出接有路由器且存在收发数据包异常的端口，关闭造成上述网络运行故障的交换机端口后，校园网恢复了正常运行。 　　4 总结 　　本文先简单介绍了无线路由器及无线网络的安全设置，接着结合校园网办公用户在使用无线路由器过程中经常遇到的问题，分析问题的根源，提出相关故障的解决办法，为校园网用户便捷、安全、稳定使用无线路由器提供技术支持。 　　[参考文献] 　　[1]陈世红，陈冰梅.无线路由器防蹭网策略分析[J].电信技术.2011（02）. 　　[2]无线.保护无线路由器安全的5点技巧[J].网络与信息.2009（10）. 　　[3]新手必看：四步解决无线网络常见故障[J].网络与信息.2011（04）.