[线上直播] 11 月 21 日晚 8 点贝壳技术总监侯圣文《数据安全之数据库安全黄金法则》
很多朋友经常留言问到, 路由器的端口映射怎么用? 如何设置网址黑名单? 什么是 Mac 地址绑定? 如何解决 ip 冲突? 如何设置静态路由等等, 这个在弱电 vip 技术群中也经常讨论到.
我们进入任何一款路由器, 我们都会看到左侧的功能菜单列表, 除了平时我们用的路由网关功能之外, 这些其它的功能都有什么用途呢? 相信很多朋友都会有这样疑问.
大部分企业级路由器的功能比较齐全, 企业路由器比较实用且常用的十一大功能, 我们来逐一了解.
一, 端口映射
端口映射的作用是让外网用户能到访问内网的服务器, 一般内网服务器的 IP 为私网地址, 从公网是不能直接访问的, 需要在路由器上做公网接口 IP 以及端口到内网服务器的 IP, 即端口的映射.
在外网浏览器内输入 ip 地址 + 端口, 如外部主机输入 http://10.168.1.22:8080, 即可访问到内网主机所搭建的服务应用.
二, 端口转发
端口转发有时也被叫做隧道, 是安全壳为网络安全通信使用的一种方法. 比如, 你现在在内网中, 是无法直接访问外网的. 但是我们可以通过路由器的 NAT 方式访问外网.
开启 WAN 口入站路由转发, 路由器的上级路由连接的主机即可访问外网.
三, DHCP 设置
开启后, 设备连接就可以自动获取路由分配的 ip 地址, 就可以上网, 不然是需要手动配置 IP 地址才可以上网的, 如果关闭, 就需要手动设置 ip 地址了.
当然路由器可以设置 ip 地址分配的范围, 尤其是在监控项目中, 没有规划的自动分配 ip 地址, 容易引起 ip 冲突等一些网络故障.
如下图:
路由器显示自动分配 ip 地址后, 各设备分配的 ip 地址及 Mac 地址, 方便管理.
四, 自定义 HOST
手动设置 HOST 记录, 将 ip 地址与域名进行绑定.
那么它有什么作用呢?
例如: 员工上班经常看视频, 影响工作, 那么你可以将一些视频网站指向一个错误的 ip 地址, 来实现公司的网络打不开视频网站, 设置后, 路由器重启即可.
五, 网络 MTU
网络 MTU 即最大的传输单元, 此值设定 TCP/IP 协议传输数据报时的较大传输单元. 我们日常在互联网上进行的各种操作, 都是都是通过一个又一个 "数据包" 传输来实现的. MTU 值就是用来限定网络中可传输数据包的最大尺寸, 默认使用的是 1500 个字节, 通常是不用设置的, 不恰当的 MTU 设置会导致网络性能变差或不能使用, 当你无法访问某些网站, 或打开网站较卡时, 可以尝试从较大值 (1500) 逐渐减少 MTU 值, 直接网络访问正常.
六, 智能 QoS
一般的企业路由器都有这个功能, 就是用来限速的, 限制某个设备的上传带宽与下载带宽.
例如在企业中, 你发现网速较慢, 估计是有人占用了带宽, 那么你可以对其设备的 ip 地址进行限制, 限制他的上传及下载带宽.
七, Mac 地址克隆
Mac 地址是网卡的物理地址, 且每块网卡都只有唯一的 Mac 地址, 有一些运营商为了限制上网设备的数量, 会对设备做了 Mac 地址绑定. Mac 地址只有一个, 那么想要多个设备上网怎么办呢?
那么就可以通过 Mac 地址克隆, 实现多个设备共用一个 Mac 地址上网, 突破运营商的限制.
八, Mac 与 ip 地址绑定
我们经常会遇到一个问题, 那就是 ip 冲突, 尤其是企业网络, 经常有员工乱改 ip 地址, 造成网络 ip 冲突, 但又找不到是谁改了, 怎么办呢?
为了解决 ip 冲突, 我们通过会将 ip 与 Mac 地址进行绑定, 让一个 ip 地址对应一个设备 Mac 地址, 而 Mac 地址是唯一的, 出了故障便可以直接进行找到相关设备.
项目中也是一样的, 将 Mac 地址与 ip 地址进行绑定, 出了问题, 可以快速的锁定相关的设备.
九, Mac 上网控制
网络管理比较好的一个功能, 在大型企业中, 基本上每个部门都有自己的网络, 防止其它部门的人连入到本部门的网络, 那么你可以路由器设置只允许本部门人的设备上网, 直接添加上网设备的 Mac 地址即可.
在家庭中, 它也是防蹭网利器, 只允许家庭成员上网, 其它的人无法接入.
十, 静态路由
一台路由器连接另外一台路由器, 这两台路由器分别连接不同的网段, 那么如果要这两个网段互通, 则必须配置路由, 这个就是静态路由.
例如:
A 路由 wan 口 192.168.0.1 255.255.255.0,lan 口 192.168.1.1 255.255.255.0
B 路由 wan 口 192.168.1.2 255.255.255.0,lan 口 192.168.2.1 255.255.255.0
A 路由器下面的 lan 口上接了 B 路由器.
A 路由要想访问 B 路由下面 lan 口的电脑, 也就是访问 192.168.2.0 这个 ip 段, 就需要添加一条为 192.168.2.0 255.255.255.0 192.168.1.2 的静态路由, 分别是目的地址, 子网掩码, 对方路由网关.
十一, 网址黑白名单
可以说这个功能非常的实用, 禁止某些 ip 地址访问某些网站, 另外还可以设置周期.
例如: 让公司的研发部, 在同一与周五, 禁止访问下面这些网站.
先设置用户组, 把研发部的 ip 地址添加进去, 然后设置黑名单即可.
这样就禁止了研发部门在周一与周五访问一些网站.
当然还有一些企业路由器有企业智能组网, 文件共享等功能, 这里就不一 一介绍了.
来源: http://network.51cto.com/art/201911/605937.htm