我想将无线路由器连接到我的工作网络,但我希望连接到路由器的所有无线客户端在“黑衣人”网络管理员面前显示为单个 IP 地址。因此,我认为路由器需要使用已存在的计算机的主机名(可能还有 MAC 地址)从办公室 DHCP 服务器获取 IP 地址。
顺便说一下,路由器是 Belkin N1 Vision。
我相信我需要做的是让路由器为无线客户端执行 NAT,在其自己的私有子网上使用自己的 DHCP 服务器为它们分配 IP 地址,但我不知道如何让路由器从办公室 DHCP 服务器获取自己的 IP 地址。
其设置页面中的 WAN 连接类型有:“PPPoE”、“PPPoA”、“动态/固定 IP(1483 桥接)”、“静态 IP(IPoA)”、“仅调制解调器(禁用 Internet 共享)”。我需要选择哪一个?
另外,我应该将路由器的哪个端口连接到办公室 LAN 插座?
答案1
您用错了路由器。
您的网络有一个 DSL WAN 端口,并且您想要一个带有以太网 WAN 端口的网络。
从您的 WAN 连接类型列表中可以清楚地看到,您的路由器有一个内置 DSL 调制解调器作为其 WAN 端口,并且您需要一个具有以太网 WAN 端口的设备来连接到您的办公室 LAN。
是的,您将路由器的 WAN 端口连接到办公室的 LAN。在这种情况下,只需将 WAN 端口视为“上游互联网连接”端口。就您而言,您的办公室 LAN 是路由器获取上游互联网连接的方式,因此请将路由器的上游 (WAN) 端口插入办公室 LAN。
如果您的路由器带有以太网 WAN 端口,则您可以选择 DHCP,一切可能都会正常工作。您的网络管理员可能不会将 DHCP 租约限制为已知的 MAC 地址或自定义 DHCP 客户端 ID,但如果他们这样做,许多无线路由器都能够进行“MAC 地址克隆”,因此路由器会使用网络已允许的您的机器的 MAC 地址。
答案2
我不知道我是否愿意帮忙解决此事,但是我还是想说......
第一:假设你被抓住了。不要试图偷偷摸摸,这只会让你看起来很糟糕。我希望 IT 部门在你插上电源的那天就倒闭。IT 部门可能担心会给网络带来安全风险,这是理所当然的。无线接入点的安全保护很麻烦。
如果你打算将 Belkin N1 Vision 用于 WAP,其 WiFi 保护设置功能是容易受到攻击,任何有文化、有键盘并且有兴趣的人都可以轻易破解。关闭该功能。不幸的是,即使关闭该功能,许多路由器仍然容易受到攻击。
您也不想通过 WiFi 访问整个网络。我无法想象您的移动设备需要太多访问权限,我希望您不会尝试从移动设备访问电子邮件服务器。虽然在手机上拥有工作电子邮件很诱人,但如果有外部访问权限,请坚持使用外部访问权限。您不需要向电子邮件服务器开放漏洞。
我不是安全专家根本,但我想设置一条防火墙规则来阻止所有非 HTTP(端口 80)的流量可能平息 IT 即将来临的挫败感。如果您可以访问任何内部网站(内部网络上在 Web 浏览器中运行的任何内容。办公室里有人使用在 Internet Explorer 中运行的“程序”吗?),那么这条规则就不够了。您必须制定一条防火墙规则来阻止所有非 80 端口且不流向 Internet 的流量。
您还需要使用 WPA2 来保护连接。甚至不要使用 WEP,因为对于任何有半个大脑、一张 Backtrack CD 和他们哥哥的笔记本电脑的人来说,它都是无用的。使用尽可能长且复杂的密码。想想 63 个(或 64 个?我不确定)字符的完全随机的胡言乱语,包括特殊字符、数字和大写 + 小写字母。也许使用发电机。现在,要么把密码记在心里,要么写下来一次并将其交给将为这场灾难承担责任的人并让他妥善保管。
如果你做的比这少,黑衣人就有权利让你失去理智。他们甚至可能很生气,我不知道你的公司对安全有多偏执。这里的目标是不要成为大规模安全漏洞的源头。他们可能不会把系统设置得这么安全,但他们有权做出这个决定。你没有。
现在要关注不要搞砸网络本身……我认为 NAT 应该可以保护您免受 IP 地址冲突的影响,但我不敢肯定。尝试选择一个 IT 部门永远不会使用的范围,以防您的路由器无缘无故地出现故障并关闭 NAT(我见过家用路由器表现更糟的情况)。尝试在 172.16.0.0 – 172.31.255.255 范围内设置。我个人以前从未遇到过 B 类专用网络,但这种情况可能会发生。
就设置而言,手册是你最好的朋友。尝试动态模式,看看你是否可以连接,但我认为这可能会禁用 NAT?大多数这些协议都是为了连接到 ISP。真正的问题是找到一种适用于路由器但不禁用 NAT 的模式。更有知识的人可以解决这个问题,但老实说,我认为他们不想帮忙。这将是一个反复试验的过程。
我个人会忘记 WAN 端口,直接插入 LAN 端口。将接入点的客户端直接连接到网络上。这似乎与安全性背道而驰,但无论哪种方式,客户端都可以访问。
这就引出了 DHCP 服务器。如果它通过 MAC 地址过滤客户端,您的公司至少会有些担心安全性。您必须让动态/DHCP 模式工作并使用服务器接受的 MAC 地址。我建议使用部门主管计算机上的 NIC。将其复制到路由器并将其直接连接到路由器上的一个 LAN 端口。如果您像平常一样让他留在网络上,您将遇到 MAC 地址冲突。
如果其中任何一点没有意义,请谷歌一下。如果你无法处理,那么你就冒着真的搞砸了某件事。我的一位同事曾经在设置静态 IP 地址时犯了一个错误,导致工资单的 SQL 服务器瘫痪。那真是一个黑暗的周末。这可能就是你。
最好的做法可能是不断地催促你的 IT 人员完成这件事,如果几天后你仍然被拒绝,请尝试插入你的家用路由器,看看你是否触发了他们的入侵检测系统的任何警报。这肯定会让他们开始行动,但可能不会很开心。如果你没有触发任何警报,请尝试在网络上打开数据包嗅探器,然后“意外”创建一个与您自己的电脑试图引发……任何能引起他们注意并让他们支付关注那些沮丧的用户。
你试过给他们送咖啡吗?我曾经为咖啡写过程序……