第31章 连接互联网——配置宽带路由器(2)

宽带路由器只实现了部分的DHCP服务功能，如分配IP地址、子网掩码、DNS服务器地址，设置IP地址租期等，能够满足用户的基本需求。

(二)NAT

NAT(Network Address Translation)即网络地址转换，是将一组IP地址映射(mapping)到另一组IP地址的技术，即将内网的私有IP地址转换成公网的公有IP地址，使得内部网络能够访问外部网络。这样有效的对外部世界隐藏了内部网络，并提高了安全性。

1.NAT术语

(1)内部本地地址(Insidelocal address)——分配给内部网络中一台主机的IP地址，可以是一个RFC1918私有地址。

(2)内部全球地址(Insideglobal address)——由国际互联网络信息中心(InterNIC)或服务提供商(SP)分配的一个合法IP地址。它将对外代表一个或多个内部本地IP地址。

(3)外部本地地址(Outsidelocal address)——为内部网络主机所知的一台外部主机的IP地址。

(4)外部全球地址(Outsideglobal address)——外部网络的某台主机拥有者分配给该主机的IP地址。

2.NAT类型

(1)静态NAT——将一个特定的内部本地地址映射到内部全球地址上。内部本地和内部全球地址被静态的一对一映射起来。这意味着对于每一个内部本地地址，静态NAT都需要一个内部全球地址。

(2)动态NAT--在路由器收到需要转换的通信之前，NAT表中不存在转换。动态转换是临时的，它们最终会超时。

(3)PAT——称为“多对一”NAT或者叫地址超载(address overloading)。使用地址超载，数以百计的私有地址节点可以使用一个全球地址访问互联网。NAT路由器通过对转换表中的TCP和UDP端口号进行映射来区分不同的会话(session)。

3.NAT优点

(1)消除了重新寻址的开销--需要外部访问时不再需要重新分配所有主机的地址，节省了时间和金钱。

(2)通过端口级的复用节约了地址--使用NAT，内部主机可以共享一个注册IP有的外部通信。在这种配置方式下，只需要相对较少的外部地址就可以支持大量的内部IP地址。

(3)保护网络安全--因为私有网络并不通告它们的地址或内部拓扑，所以当他们与用以获取受约束的外部访问时，仍然保持了相当的安全。

4.NAT的缺点

(1)增加了延迟--交换路径延迟的引入是因为需要转换分组头中的IP地址。由于NAT普遍使用处理变换来实现，因此需要考虑性能。CPU必须查看每个分组以决定是否需要转换，然后改变IP报头(可能还有TCP报头)。这一过程不太容易进行高速缓存。

(2)丧失了端到端的IP追踪能力--当分组在多个NAT上经历许多次的分组地址转换后，要跟踪该分组是非常困难的。当然这种情况也导致了更安全的链路，因为电脑黑客将很难确定分组的源，甚至不可能跟踪或获得初始的源或目的地址。

(3)使用IP寻址的应用无法工作--因为它隐藏了端到端的IP地址，那些使用物理地址而不符合要求的域名的应用将无法到达那些经过NAT路由器转换的目的地。有时，可以通过实现静态NAT映射来避免这一问题。

(三)DMZ

DMZ(De Militarized Zonein Networks)即非军事区，又称非保护区，指的是通过防火墙而独立于其他系统的部分网络，为了实现在保护内部网络的安全同时，又可以保证需要放置在Internet上的服务器的安全，防火墙只允许部分类型的网络流量进入或离开。

非军事区安全性高于外部网络，低于内部网络。它是由一个或多个防火墙创建的，这些防火墙起到分隔内部、非军事区和外部网络的作用。用于公开访问的Web服务器、邮件服务器等通常位于非军事区中。

单个防火墙，包含三个区域，分别用于外部网络、内部网络和非军事区。

来自外部网络的所有通信量都被发送到防火墙。然后防火墙会监控通信量，决定哪些通信量应传送到非军事区，哪些应传送到内部，以及哪些应予以拒绝。

在双防火墙配置中，防火墙分为内部防火墙和外部防火墙，其间则是非军事区。外部防火墙限制较少，允许Internet用户访问非军事区中的服务，而且允许任何内部用户请求的通信量通过。内部防火墙限制较多，用于保护内部网络免遭未授权的用户访问。

单一防火墙配置适用于规模较小、通信量较少的网络。但是单一防火墙配置存在一个故障点，可能发生过载。双防火墙配置更适合处理通信量较大的大型复杂网络。

(四)MAC address clone

MAC地址克隆，也称MAC地址映射。有些学校对内部网络的管理比较严格，使用MAC-IP绑定方式进行限制，这样宽带路由器是无法直接使用校园网络的。这时，开启地址MAC克隆，把被绑定的网卡MAC地址映射到宽带路由器的WAN端口，让监控系统把这台路由器认定为是被绑定的网卡，就可以正常连接到网络。

(五)UPnP

UPnP(Universal Plugand Play)，中文意思是通用即插即用。UPnP是各种各样的智能设备、无线设备和个人电脑等实现遍布全球的对等网络连接(P2P)的结构。

UPnP的应用范围非常大，以致足够可以实现许多现成的、新的及令人兴奋的方案，包括家庭自动化、打印、图片处理、音频/视频娱乐、厨房设备、汽车网络和公共集会场所的类似网络。

UPnP是一种分布式的，开放的网络架构，它可以充分发挥TCP/IP和网络技术的功能，不但能对类似网络进行无缝连接，而且还能够控制网络设备及在它们之间传输信息。在UPnP架构中没有设备驱动程序，取而代之的是普通协议。UPnP是独立的媒介。在任何操作系统中，利用任何编程语言都可以使用UPnP设备。

UPnP可以和任何网络媒体技术(有线或无线)协同使用。举例来说，这包括：Category5以太网电缆、Wi-Fi或802.11b无线网络、IEEE1394(“Firewire”)、电话线网络或电源线网络。当这些设备与PC互联时，用户即可充分利用各种具有创新性的服务和应用程序。

当我们使用无线网络连接时，会发现BT软件无法下载或下载速度很慢，即时通信软件MSN Messenger无法进行语音聊天和文件传输。这是因为不管使用MSN Messenger进行语音聊天和文件传输，还是使用BT下载软件，都需要开放额外的端口，如MSN Messenger文件传输要开放TCP的6891~6900内的端口，语音、视频交流要开放UDP的5004－65535间的端口。手工映射端口是非常麻烦的，而宽带路由器都提供“UPnP”功能(默认设置为关闭)，我们只需要启动该功能，就能自动完成端口映射，这样MSN Messenger、BT等软件就能正常工作了。

(六)WLAN

1.WLAN

无线网络分为三个主要类别：无线个域网(Wireless Personal Areanetworks，WPAN)、无线局域网(Wireless Local Area Network，WLAN)和无线广域网(Wireless Wide Areanetworks，WWAN)。

(1)WPAN

这是最小的无线网络，用于连接各种外围设备到计算机，例如鼠标、键盘和PDA等。所有这些设备专属于通常使用红外(IR)或蓝牙(Bluetooth)技术的一台主机。

(2)WLAN

WLAN通常用于延伸本地有线网络的覆盖范围。WLAN使用无线电射频(Radio Fre-quency，RF)技术并遵守IEEE802.11标准。它们可以让许多用户通过称为“接入点”(AP)的设备连接到有线网络。接入点用于连接无线主机和有线以太网络中的主机。

(3)WWAN

WWAN网络覆盖非常广大的区域。移动电话网络就是一种非常典型的WWAN。这些网络使用码分多址(CDMA)或全球移动通信系统(GSM)等技术，通常受政府机构的管制。

2.Wi-Fi

Wi-Fi(Wireless Fidelity)，中文翻译无线保真，与蓝牙、红外(IR)技术一样，同属于在办公室和家庭中使用的短距离无线技术。相对与蓝牙和红外，Wi-Fi采用无线电射频(RF)，具有传输距离长，速率快的特点。

Wi-Fi遵守IEEE802.11标准，目前可用的标准包括802.11a、802.11b、802.11g和802.11n。

(1)802.11a

①使用5GHzRF频谱；

②与2.4GHz频谱(即802.11b/g/n设备)不兼容；

③范围大约是802.11b/g的33%；

④与其他技术相比，实施此技术非常昂贵；

⑤802.11a标准的设备越来越少。

(2)802.11b

①首次采用2.4GHz的技术；

②最大数据速率为11Mbps；

③范围大约是室内46米(150英尺)/室外96米(300英尺)。

(3)802.11g

①2.4GHz技术；

②最大数据速率增至54Mbps；

③范围与802.11b相同；

④与802.11b向下兼容。

(4)802.11n：

①正在开发中的最新标准

②2.4GHz技术(草案标准规定了对5GHz的支持)

③扩大范围和数据吞吐量

④与现有的802.11g和802.11b设备向下兼容(草案标准规定了对802.11a的支持)

3.WLAN组件

WLAN组件包括无线网桥(Bridge)、接入点(Access Point，AP)、无线客户端和天线(Antennas)。其中，无线网桥通过无线链路连接两个有线网络，最大传输距离可达40公里。

接入点控制有线与无线网络的接入，例如让无线客户端接入有线网络。AP支持有限区域内的无线连接，称为蜂窝(Cell)或基本服务集(Basic Service Set，BSS)。无线客户端即能够加入到无线网络的主机设备。通常称为STA(Station的缩写)，简称站点。天线包括定向天线(Directional antennas)和全向天线(Omni-directionalantennas)。定向天线通过将所有信号集中到一个方向，可以实现远距离传输。定向天线常用于桥接某些应用，而全向天线则常用于AP。

在构建无线网络时，需要将无线组件连接到适当的WLAN。这可以通过使用服务集标识符(SSID)来完成。服务集标识符是一个区分大小写的字母数字字符串，最多可以包含32个字符。它包含在所有帧的报头中，并通过WLAN传输。SSID用于标识无线设备所属的WLAN以及能与其相互通信的设备。无论是哪种类型的WLAN，同一个WLAN中的所有设备必须使用相同的SSID配置才能进行通信。

拓展知识--宽带路由器的默认SSID

每个厂家都有其默认的SSID号，例如Linksys的路由器的默认SSID号是linksys，而TP-Link的默认SSID号是TP-LINK，D-Link的默认SSID号是dlink，用户可以根据自己的需求来修改SSID。

4.WLAN架构

WLAN有两种基本形式：对等模式(Ad-hoc)和基础架构模式(Infrastructure Mode)。

(1)对等模式

在点对点网络中，将两台或以上的客户端连接到一起，就可以创建最简单的无线网络。

以这种方式建立的无线网络称为对等网络，其中不含AP。一个对等网络中的所有客户端是平等的。此网络覆盖的区域称为独立的基本服务集(Independent Basic Service Set，IBSS)。

简单的对等网络可用于在设备之间交换文件和信息，而免除了购买和配置AP的成本与麻烦。

(2)基础架构模式

对等模式适用于小型网络，而大型网络需要一台设备来控制无线单元中的通信。如果存在AP，则AP将会承担此角色，控制可以通信的用户及通信时间。这就称为基础架构模式，它是家庭和企业环境中最常用的无线通信模式。在这种形式的WLAN中，不同STA之间无法直接通信。为了进行通信，每台设备都必须从AP获取许可。AP控制所有通信，确保所有STA都能平等访问介质。单个AP覆盖的区域称为基本服务集(BSS)或单元。

5.ESS

基本服务集(BSS)是WLAN最小的构成单位。单个AP的覆盖区域有限。要扩大覆盖区域，可以通过分布系统(Distribution System，DS)连接多个BSS，从而形成扩展服务集(Eｘtended Service Set，ESS)。ESS使用了多个AP。每个AP都位于一个独立的BSS中。