局域网组网、用网问题总览
网际畅游
一、局域网组网疑难
问:什么是直通线?
答:两端RJ-45头中的线序排列完全相同的网线,称为直通线(Straight Cable)。当一端线序从左到右依次为白橙、橙、白绿、蓝、白蓝、绿、白棕、棕时,另一端线序从左到右仍然依次为白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。或者当一端线序从左到右依次为白绿、绿、白橙、蓝、白蓝、橙、白棕、棕时,另一端线序从左到右仍然依次为白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。
集线设备与配线架的连接,以及计算机与信息插座的连接、计算机到集线设备的连接所使用的跳线全部都是直通线。事实上,综合布线中的水平布线只是在某种意义上对跳线的延长。
在以下情况时,必须使用直通线:
当要把计算机连接至集线器或交换机时。
要将一台集线器或交换机以Up-Link端口连接至另一台集线器或交换机的普通端口时。
需要连接集线器或交换机与路由器的LAN端口时。
问:什么是交叉线?
答:当使用双绞线直接连接两台计算机或连接两台集线设备时,另一端的线序应作相应的调整,即第一、二线和第三、六线对调,制作为交叉线(Crossover Cable)。例如,当一端线序从左到右依次为:白橙、橙、白绿、蓝、白蓝、绿、白棕、棕时,另一端线序从左到右应当依次调整为白绿、绿、白橙、蓝、白蓝、橙、白棕、棕。
以下情况必须使用交叉线:
两台计算机通过网卡直接连接时,即所谓的双机直连。
以级联方式将集线器或交换机的普通端口连接在一起时。
问:什么时候既可使用直通线,又可使用交叉线?
答:以下情况既可使用直通线,也可使用交叉线:
集线器或交换机的RJ-45端口拥有识别功能,可以自动判断所连接的另一端设备,并自动实现MDI/MDI-II间的切换。
集线器或交换机的特定端口拥有MDI/MDI-II开关,可通过拨动该开关选择使用直通线或交叉线与其他集线设备连接。
问:两居室家居布线如何实现?
答:主卧室安装两个信息点,位于双人床两侧,以便双方能够同时使用笔记本电脑。辅卧室安装一个信息点,位于单人床床头或写字台附近,便于子女或来访客人使用。客厅安装一个信息点,位于沙发一端或茶几附近较为隐蔽的位置,便于使用笔记本电脑在客厅办公或娱乐,也可以用于安装无线AP。另外,再从住宅小区提供的信息插座引一条双绞线到集线设备处,以实现家庭网络的小区局域网接入。双绞线、电话线与电源线应当分管铺设,彼此之间的距离为20cm。信息插座、语音插座与电源插座的距离也应当在20cm。
将双绞线穿入PVC管,埋设在地板垫层。需要过墙时,在墙壁贴近地面处打洞。信息插座采用墙上型,在墙壁中埋设底盒。信息插座距地面距离为20cm,距电源插座的距离也为20cm。集线设备(集线器或交换机)安装在辅卧室,建议选用5~8口桌面型设备,可以固定在写字台靠近床头的一侧,既节约空间、保证有适当的通风空间,同时又避免设备直接暴露影响美观。
问:三居室家居布线如何实现?
答:主卧室和辅卧室的设计,以及小区宽带链路与两居室相同,故不再赘述。由于三居室的客厅通常比较大,所以可考虑在两侧的墙壁上分别安装一个信息点,均位于距窗口1m~1.5m的隐蔽位置,便于同时接入计算机或无线AP。综合布线的要求与两居室完全相同。
问:如何快速为网卡配置IP地址?
答:在Windows XP系统中配置IP地址,与在Windows 98系统下的操作稍有不同,具体操作如下:
第一步,保证网卡物理安装正确,并安装好合适的网卡驱动程序。
第二步,在桌面用鼠标右键单击“网上邻居”。选择“属性”命令,这时将打开“网络连接”对话框。
第三步,选中“本地连接”并单击鼠标右键,打开“本地连接 属性”对话框。
第四步,在“组件”列表中找到“Internet协议(TCP/IP)”项,然后单击“属性”按钮,打开“Internet协议(TCP/IP)属性”对话框。
第五步,如果此时局域网中已设置了DHCP服务器,或有服务器具有DHCP功能,则选中“自动获得IP地址”选项,并输入DNS服务器IP地址。
如果工作站得到分配的局域网内部的固定IP地址,则选中“使用下面IP地址”选项,并输入相应的IP地址、子网掩码、网关地址等信息。
如需进一步设置DNS、WINS、IP安全机制等内容,则可以单击“高级”按钮,在弹出的对话框中实现,如图1所示。
第六步,设置完成后,连续单击“确定”退出。
问:如何查看所在地区DNS域名服务器的IP地址?
答:在Windows XP环境下的查看方法如下:
第一步,在开始菜单的“运行”对话框中输入“command”或“cmd”,打开命令行窗口。
第二步,输入“Ipconfig /all”命令单击回车键后,屏幕上将显示出IP地址的相关信息。最后的两行,即“DNS Servers”后的内容就是本地DNS服务器的IP地址,如图2所示。
问:如何避免网络内的客户机与ADSL内置IP地址发生冲突?
答:通过以下途径可避免这类问题:第一,确定ADSL内部IP地址。一般查阅新产品产品说明书,其中都会给出内置路由所需的默认IP地址,这个地址通常是192.168.0.1,或者192.168.1.1。也可在浏览器中分别输入这些地址逐一尝试,如果正确,则浏览器中将显示ADSL的配置界面。一般情况下管理员是不会更改这个默认的内部保留IP地址的,往往要修改的只是它的账户和口令。第二,统一规划局域网各机器的IP地址。为局域网各计算机分配IP地址时,要尽量避免与网络设备内部保留的私有IP地址相冲突,必要时可以将网卡与IP地址进行绑定。
问:如何在组建网络时确定计算机网卡的MAC地址?
答:如果工作站使用Windows 98系统,在开始菜单的“运行”对话框中输入“winipcfg”后回车,对话框中的“适配器地址”就是本机网卡的MAC地址。如果工作站使用Windows 2000/XP系统,则在“运行”对话框中输入“cmd”回车,然后在命令行输入“ipconfig /all”,在出现的“Physical Address”后面的内容就是本机网卡的MAC地址。
问:如何定位并解决局域网内的IP地址冲突?
答:解决IP地址冲突,首先要明白以下几条基本规则:
IP地址用户可以修改,而网卡的MAC地址普通用户无法修改。
出现IP地址冲突时,MAC地址一般不可能也出现冲突。
基于上述两个规则,只需找到IP地址设置不当的工作站并重新设置即可。而要找到“肇事”工作站则最好的方法是确定其MAC地址。在进行任何操作之前,如果存在多个网段,则可以分别屏蔽各个网段,使用分网段的方法以进一步缩小查找的范围。假设屏幕提示存在冲突的IP地址为192.168.8.8,则可以在一台正常的计算机上,进入命令行界面,先Ping一下这个IP地址,看看它到底是否属于当前的网段(如果只有一个网段则此步可不做)。
下面开始查找“肇事”工作站的网卡MAC地址。仍然在命令行输入以下命令:“ARP -a”。屏幕将显示类型信息。此时可以发现, Physical Address下面对应的字串就是对应IP地址的MAC地址了。不过,ARP命令只能在某一个VLAN中使用有效,它是低层协议,不能跨路由。
最后是根据MAC地址和网络布局时的资料来查找对应的机器了,实际做起来并不容易。如果平时收集和保存了IP地址的分配资料,则也可以直接找到冲突机器。当然,最好的办法是使用后面介绍的问答办法将IP地址与网卡MAC地址进行绑定,这样普通用户要想修改就无能为力了。
问:如何将系统中的IP地址与网卡的MAC地址绑定起来?
答:MAC地址是网卡的全球惟一标识,通过捆绑IP地址和MAC地址,可以有效防止局域网中IP地址盗用现象。实现方法是,进入命令行状态,输入命令行“ARP -s 192.168.8.8 AA-22-BB-44-CC-55”,即可把MAC地址和IP地址捆绑在一起。
ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,如果采用Modem拨号上网或是动态IP地址就不起作用。另外,IP地址绑定的安全性也只是相对的,通过特殊途径仍然可以破解,只不过普通用户很难实现而已。
问:如何为计算机设置两个IP地址?
答:打开注册表编辑器,定位到HKEY_ LOCAL_MACHINE\System\CurrentControlSet\ Services\Class\NetTrans分支,分别点击0000、0001,0002……,同时注意查看右侧窗口中的内容。当发现右边窗口中的字符串“DriverDesc”的值为“TCP/IP”时,修改同一窗口中的字符串“IPAddress”和“IPMask”的键值。把“IPAddress”设置为“192.0.1.1,192.0.1.8”把“IPMask”设为对应的子网掩码,一般即为“255.255.255.0,255.255.255.0”。
问:如何修改网卡的物理地址?
答:在Windows 9x系统中,网卡驱动程序使用NDIS规范与操作系统通信,MAC地址保存于某个存储单元内,系统就根据该存储单元的内容来识别网卡的物理地址。因此不修改网卡的EPROM的内容而只通过修改存储单元的内容,就可实现修改MAC地址的目的。在注册表编辑器中找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000分支,如果安装有多块网卡,下面将还有0001、0002等信息加以区分。这里保存有网卡的信息。在相应网卡的项目(如0000)下新建一字符串键值项,名为“NetworkAddress”,将其值设为希望使用的MAC地址,比如“224466880011”,输入时中间不必添加“-”符号。
重新启动计算机后,使用“winipcfg”或“nbtstat -a xxx.xxx.xxx.xxx”(机器IP地址)命令进行查看时,就会发现:网卡的MAC地址已经被修改成了“22-44-66-88-00-11”。
如果希望在网卡的属性设置选项中也能够显示这个修改后的MAC地址,则继续修改注册表,找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000\NDI\Params分支,新建主键“NetworkAddress”,再在下面添加一个名为“default”的字符串键值项,双击之并将其值设为一上步已经设置的“224466880011”;再添加一个名为“ParmasDesc”的字符串,键值为“MAC Address”。重新启动后,在网上邻居属性的网卡属性页中的高级选项中,就可看到“224466880011”的MAC地址了。
注意:某些情况下,胡乱修改MAC地址会导致网络中的MAC地址冲突,或者出现无法上网等故障,因此要注意备份好注册表。
二、Internet共享连接上网疑难
问:共享上网需要做哪些准备?
答:一般而言,共享上网都会使用客户机/服务器的网络连接方式,又叫服务器网络。客户机/服务器网中至少有一台专用服务器来管理和控制网络的运行。几乎所有的网吧和中小型企业都在使用这种组网方式。
首先,将每台客户机中的网卡安装好,然后将网线的一头插在网卡的RJ-45插口上,另一头插在集线器的RJ-45插口上,再插上集线器的电源。
然后,在服务器上安装双网卡。其中一块网卡接入Internet。另一块网卡接入到集线器或交换机(连接客户机)上即可,如图3所示。
问:客户机/服务器网络共享接入该如何设置?
答:利用客户机/服务器模式组建局域网实现共享上网有两种方式,包括直接共享和使用代理服务器上网。
直接共享方式使用起来非常方便快捷,无需安装任何软件,直接在作为服务器的计算机上简单配置即可,但是它不能对客户机的网络行为进行管理。对一个小型的局域网来说,这一方式应该较为适用。
使用代理服务器共享上网稍微复杂一些,它所需的代理服务器主要有两种基于不同通信机制的类型。一种是网关型,一般建立在Linux环境下的代理服务器都是网关型代理服务器,在Windows 9x/2000/XP环境下,网关型代理服务器的软件有SyGate、WinRoute等。使用网关型代理服务器的计算机没有任何服务上的限制,并且容易配置,只需要将网关设置成为代理服务器的IP地址即可。它的缺点是对客户机的管理不方便。
另一种是代理型,这类软件的代表是WinGate。它提供很好的管理功能,而且通过缓存来提高访问速度。但是使用代理服务器接入的计算机受到很多限制,并且需要配置各种应用软件的代理设置,也需要设置服务器端和客户端,对普通用户来说比较麻烦。
一般在较为大型的网络中,会将网关型和代理型代理服务器混合使用,如很多典型的校园网都是先通过网关型代理服务器控制代理型代理服务器是否允许接入互联网,然后再通过代理型代理服务器使被允许接入的个人计算机获得互联网服务。通过代理型代理服务器可以更好地管理网络,例如可以对用户进行分级、设置访问权限、对外界或内部的Internet地址进行过滤,通过限制端口可以使用户无法使用诸如在线游戏、QQ等软件。
问:以共享方式组建局域网的准备工作有哪些?
答:为了体现代表性,这里选择比较主流的网络设备来实现。接入部分使用ADSL,带宽为用户所独享。以共享的方法实现共享上网的准备工作如下:
服务器配置:使用一台计算机作为服务器(安装Windows 2000 Server以上操作系统),完成代理上网服务的功能。在作为服务器的这台计算机上安装两块网卡,一块是TP_Link RTL 8139V,另外一块是MX98715。RTL 8139V连接本地局域网,MX98715则连接到Internet上。假定ISP给这条线路分配的IP地址是61.185.30.16,子网掩码是255.255.255.0。网关是61.185.30.1,DNS是61.134.1.4。
客户机配置:在每台客户机(安装Windows 98以上操作系统)上安装1块网卡并且与集线器连接好即可。
问:以共享方式组建局域网如何设置服务器端?
答:右键点击“网络邻居”,选择“属性”命令。服务器上安装了两块网卡,因此在“网络连接”对话框中可以看到当前有两个本地连接。右键点击“本地连接2”,选择“属性”命令,打开相应对话框。
为了对外的安全起见,首先去掉“Microsoft 网络的文件与打印机共享”选项。接下来双击“Internet 协议(TCP/IP)”选项,在打开的对话框中键入ISP分配的IP地址和网关地址。至此,服务器可以正常上网了。但是客户机并没有跟服务器相连,因此还需要设置共享。
再次打开上面设置的“本地连接2”属性对话框,点击“共享”选项卡,选中“启用此连接的Internet连接共享”选项。点击“确定”按钮,在出现的提示对话框中直接点击“是”按钮即可。
要让局域网中的其他计算机都能实现共享上网,还要对服务器上另外一块与局域网相连的网卡进行设置。按照同样的办法,打开“本地连接1”属性对话框,双击“Internet 协议(TCP/IP)”选项,在打开的对话框中可以看到IP地址已经被系统自动设置为192.168.0.1。子网掩码255.255.255.0。当然,为了统一起见,这里也可以将IP地址改成192.168.1.1。网关主机设置完成,已经共享了Internet连接。至此,服务器端的设置就完成了。
问:以共享方式组建的局域网客户端如何设置?
答:客户端以Windows XP为例进行讲解。按照上面的方法,首先打开客户机上“本地连接”属性对话框。双击“Internet 协议(TCP/IP)”选项,在打开的对话框中为每一台客户机指定一个内部的IP地址,例如,将其中某一台计算机的IP地址设置为192.168.1.2,子网掩码设置为255.255.255.0,网关地址设置成服务器的IP地址,即192.168.0.1,而DNS可以设置成与服务器一样的地址,单击“确定”按钮即组建完成。其他的客户机也可以按照同样的方法进行设置。
问:共享上网如何接入更多客户机?
答:一条Internet线路可以接入无数台客户机计算机。一般情况下,客户机只能配置192.168.1.2~192.168.1.255这254台计算机,如果局域网中的计算机数量大于254台怎么办呢?最简单的方式就是重新配置一个服务器并申请另外一条ADSL专线,将这台服务器在局域网内的IP地址设置成192.168.2.1,而其他的计算机把IP地址设置为192.168.2.2~192.168.2.255,依次类推。不过该方法的代价太大。其实,你也可以将局域网中的某台计算机当作服务器设置成另外一个网关,例如在192.168.1.2计算机上安装另外一块网卡,将其IP地址设置成192.168.0.1,然后接入另外一个集线器,而其他的计算机就可以放在这个局域网内。依次类推,可以让更多的计算机实现共享上网。
问:两台计算机如何实现Internet连接共享?
答:两台计算机实现Internet连接共享,最好的方法就是双机直连。所谓双机直连,是指利用交叉双绞线将两台计算机的网卡直接连接在一起而构建的网络。
需要注意的是,虽然双机直连节约了集线设备,但由于无法扩展端口,所以,这种网络没有任何可扩展性。
问:双机互连如何设置?
答:双机互连时,无论两台计算机种类如何,作为提供Internet共享服务的计算机都应当安装两块网卡,其中一块网卡用于连接至另一台计算机,另外一块网卡则用于连接Internet。
由于只有两台计算机共享Internet接入,因此,Internet访问量很少,也就无需再安装专门的代理服务器软件,使用Windows内置的ICS(Internet连接共享)模块,即可实现Internet共享接入。Windows 98/2000/XP均提供ICS服务,在网络安装向导的指示下,可以轻松完成ICS的设置,并且客户端及Internet应用程序均无需进行任何设置。
需要注意的是,用于连接ICS的网卡与Internet连接为直通线;用于连接ICS计算机与客户端网卡的双绞线为交叉线。
问:用代理服务器如何实现ADSL的Internet连接共享?
答:当网络通过ADSL连接至Internet时,在直接连接至ADSL Modem的计算机上安装代理服务器软件,使该计算机充当代理服务器的角色,网络中的其他计算机即可通过该代理服务器共享Internet连接。
当采用RJ-45接口的ADSL Modem时,作为代理服务器的计算机必须安装两块网卡,一块网卡用于连接至局域网,另一块则用于连接ADSL Modem;当采用USB接口的ADSL Modem时,作为代理服务器的计算机只需通过一块网卡连接至局域网,并通过USB接口连接至Internet。
问:SyGate共享上网如何设置?
答:SyGate是一个网关型代理服务器软件,它可以运行在Windows 9x/NT/2000/XP的操作平台上,支持几乎所有的Internet应用和协议。
在SyGate服务器端安装完成之后,打开SyGate服务器控制台,出现设置窗口。点击“高级”按钮就能打开扩展设置对服务器进行设置。该窗口左边显示的是网络的连接状态,内部计算机上网使用的带宽和数据量在右半窗格显示。点击“配置”按钮,进入SyGate的配置窗口。
(1)直接 Internet/ISP连接
此处指定SyGate使用服务器上哪一个接口(拨号,以太网等)用于连接互联网以提供共享上网,根据自己的具体情况增加或删除提供给SyGate使用的互联网接口。一般情况下,可以选择自动检测。
(2)拨号网络设置
选中此处的选项,可以让SyGate根据局域网客户端访问互联网的请求自动拨号。当服务器没有上网,而客户端发来上网信号,SyGate服务器就自动根据用户设置的互联网接口中的拨号连接自动连接ISP。如果是ADSL等接入方式,建议选择该项。而在自动断线设置中,当互联网接口上没有数据通过的时间达到了所设置的时间后,SyGate可以自动关闭互联网连接,如果不希望使用自动断线,则选中“永不挂断”选项。建议选择过一段时间就自动关闭互联网连接。这样设置后,如果ADSL实行的是计时收费,那么一旦客户机没有上网,SyGate就自动关掉ADSL拨号,而又不影响局域网中其他客户机的上网。
(3)本地网络连接设置
设置服务器上连接内部局域网的某个接口,从而为局域网内部的用户提供共享上网。同样,既可以选择自动检测,也可以点击“手工选择”按钮,在打开的对话框中输入192.168.1.1等内部IP地址作为内部局域网的一个网关。
问:使用SyGate在服务器端设置代理服务之后,客户端如何设置?
答:对于客户机来说,它们的设置跟共享上网方式一样,只需要输入服务器上设置的内部网关地址和IP地址即可共享上网了。当然SyGate也可以通过一个网卡代理上网。这里需要使用单网卡模式,这种方式一般用于服务器使用ADSL专线上网,并且只有一块网卡。它同时设置了内部网络参数和Internet专线上网参数,选中该模式以后输入该网卡在内部网络的IP地址,例如使用192.168.0.1,将它作为局域网其他计算机共享上网的网关即可。
问:SyGate如何设置访问规则?
答:点击SyGate设置窗口中的“访问规则”按钮,在打开的对话框中点击“增加”按钮,在弹出的对话框中输入访问规则即可。例如可以控制哪个IP地址使用何种端口、可以进行何种服务等。
问:SyGate如何进行用户访问权限设置?
答:点击SyGate设置窗口工具条上的“权限”按钮,输入用户的口令,单击“OK”按钮,进入“权限编辑器”窗口。这里的“BlackList”(黑名单)列出的是禁止访问的网站,“White List”用来指定可以上网的客户机。单击“Add”按钮向黑名单中添加网站的IP地址,出现添加记录窗口,按照需要添加即可。
问:宽带路由器实现Internet共享有何特点?
答:使用宽带路由器是实现共享上网一个廉价且有效的解决方案。
(1)节约投资
随着技术的不断成熟,宽带路由器已经变得非常便宜,一台低端产品不过几百元。相对于专用代理服务器而言,宽带路由器是比较划算的。
(2)配置和管理简单
绝大多数宽带路由器都提供Web配置界面。另外,路由器采用的也是地址映射,所以,网络内的客户机和应用程序均无需做任何设置。
(3)运行稳定,发生故障易于恢复
使用硬件的路由器,最大好处在于不必使用一台计算机作为服务器,发生软硬件故障的几率大大降低,系统稳定性大大提高。即使由于访问量过大或其他原因导致路由器瘫痪,只需重新加电即可恢复其正常运行,无需重新安装和配置。
(4)设置私有虚拟服务器及虚拟端点
可以根据需要为内部网络的服务器和计算机设置相对应的端口号,以实现Internet对内网服务器的访问,以及对内网计算机的远程控制,并可有效地限制外部使用者的存取操作。
(5)整合DHCP服务
可提供动态IP地址服务,实现对内部网络地址的自动管理,提高工作效率。
(6)内建交换端口或共享端口
许多带宽路由器本身都提供若干交换端口或共享端口,既可用于直接连接计算机,也可连接至其他集线设备,实现端口扩展。
问:如何用宽带路由器实现Internet共享?
答:当采用宽带路由器共享Internet接入时,网络内的所有计算机均只需安装一块网卡,并通过双绞线连接至集线设备,不再需要ICS主机或代理服务器。
问:宽带路由器如何连接?
答:如果使用集成有多个以太网端口的宽带路由器,可以直接将计算机连接至其以太网接口。如果网络内的计算机数量较多,也可以将集线器连接至宽带路由器的以太网端口,从而成倍地扩展端口数量。
问:为什么只有宽带路由器上的计算机才能连接到Internet?
答:可能导致集线器上计算机无法访问Internet的原因有以下几个:
(1)集线器故障
故障现象将是集线器上的计算机彼此之间无法Ping通,更无法Ping通路由器。也就是说,该故障所影响的只能是连接至集线器上的所有计算机。
(2)级联故障
或者是路由器与集线器之间的级联跳线采用了不正确的线序,或者是跳线连通性故障,或者是采用了不正确的级联端口。故障现象将是集线器上的计算机之间可以Ping通,但无法Ping通路由器。不过,直接连接至路由器LAN端口的计算机的Internet接入将不受影响。
(3)宽带路由器故障
如果是LAN端口故障,现象将与级联故障类似;如果是路由器故障,现象将是网络内的计算机都无法接入Internet,无论连接至路由器的LAN端口,还是连接至集线器。
另外,需要注意的是,宽带路由器通常置为NAT功能,只要路由器和客户端设置正确,不管是接计算机,或者先接集线器再接计算机,都是一样的。采用NAT共享Internet连接时,客户端计算机需要注意设置两个参数,即网关地址(就是路由器的地址)和DNS地址(当地电信局的DNS服务器的地址)。
三、局域网应用疑难
问:Windows 98系统下为什么看不到网上邻居?
答:首先检查一下本机的各种网络协议是否已经安装好了。如果确认没有问题,就应该检查你是否已经正常登录到网络中了。
Windows 98启动之后会出现一个登录到网络的对话框,这时必须填上用户名和密码,如果忘记了,也可以直接添加上一个新用户名并重新选择一个密码即可解决。如果还是不行,试试按F5键刷新网络邻居的列表看一下,因为有时候可能网络会有一些延迟。
问:如何解决共享文件夹不能被正常访问的问题?
答:如果本机可以看到其他用户的计算机,他们也能找到这台计算机,说明网上邻居的安装没有问题,这很可能是由于安装了个人防火墙软件,这时候仔细检查并修改一下防火墙的设置即可解决问题。
另外,在Windows 2000/XP系统中,设置允许最大用户登录数的时候,如果设置允许登录的人数太少,可能也会因为同时访问的人数过多而遭到拒绝,这个时候增大同时允许访问的用户数量就能轻松解决问题了,如图4所示。
问:如何锁定“网上邻居”?
答:先到C:\WINDOWS\SYSTEM目录下,找到Netcpl.cpl文件,将其任意改名,如:Netcpl.cpl.bak。这样控制面板中就看不到网上邻居了,查看桌面“网上邻居”的属性也没有反应了。
问:如何加快网上邻居的访问速度?
答:网上邻居的访问速度主要还是与局域网的网络状况有关,不过可以通过修改计算机的配置在一定程度上改善这种状况。
打开注册表编辑器,依次定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace分支,将{D6277990-4C6A-11CF-8D87-00AA0060F5BF}子键删除,然后关闭注册表编辑器、重新启动计算机就可以了。
问:网上邻居图标为什么会消失?
答:Windows系统会自动将“网上邻居”与网卡进行关联,如果计算机里插入了网卡,同时系统安装了网卡驱动程序,网上邻居就可以工作了,一旦将网卡驱动程序删除或者卸掉网卡,“网上邻居”就会消失,不过这对于没有接入局域网的计算机并没有影响。
问:如何隐藏共享文件夹?
答:用鼠标右键点击想要共享的文件夹,在右键菜单中选择“属性”,在属性窗口中点击“共享”选项卡,选中“共享为”选项,在下方的共享名中填入共享文件夹的名称,然后在名称后面加符号“$”,例如:“信息资源$”,最后填入密码即可。
如果需要对它进行访问,首先要知道自己的计算机在局域网中的名称或者IP地址,假设是“ss”,在局域网中的其他计算机上打开“网上邻居”,在地址栏中输入“\\ss\信息资源$”,回车,填入该共享文件夹的密码,最后点击“确定”按钮,隐藏在局域网中的这个共享文件夹的内容就出现了。
问:Windows 9x与Windows XP之间网上邻居如何互访?
答:安装Windows 2000/XP时,系统会默认设置为禁用内置的Guest账号。在Windows XP中,打开“控制面板”,双击“用户账号”图标,在出现的对话框中点击“Guest账号”,然后在打开的对话框中点击“启用来宾账号”按钮即可,如图5所示。
问:Windows 98下文件共享引起的安全隐患如何解决?
答:Windows 98系统文件共享存在密码泄漏的安全隐患。目前有一些软件,可以专门用来扫描网络中的共享资源,并且通过穷举法轻松获取密码,一旦我们设置的共享密码被破解,共享资源就会完全暴露在别人的面前,造成一定程度上的损失。由于系统本身的缺陷,造成Windows 98系统下密码泄漏的漏洞一般不好处理,建议将系统升级到Windows 2000或Windows XP。
如果系统盘(安装操作系统的分区)被共享,即使是只读,带来的危害也非常巨大。使用Windows 98的朋友可能知道PWL文件的作用。一台装有Windows 98系统的计算机可以供几个用户使用,不同的使用者通过输入自己的用户名、密码来登录系统。而这些机密的信息就是存储在相应的PWL文件中的,PWL文件中还可能存放一些上网的密码等。如果黑客通过一些手段进入了C盘,就可以很容易地得到这些PWL文件,再通过一些解密软件来打开这些PWL,就可以得到用户的开机密码、上网密码等非常重要的个人资料了。因此,不要对任何盘符设置共享,也就是说不要共享根目录。共享类型最好设置成只读,不要设置成完全共享。密码要取得比较长、比较复杂。
有些病毒是专门针对文件共享漏洞进行攻击的。例如曾经流行过的尼姆达病毒,首先就是查找网络上没有设置密码保护的共享资源,并且发送大量的网络数据包并进一步探测其他计算机上设置的共享。这个病毒曾经给网络带来了较大的冲击,妨碍用户上网,并且对文件系统带来很大的影响。文件共享主要是方便文件传输,如果没有文件传输的需要,建议关掉这项功能。如果确实需要的话,遵照前面的建议,加上文件的只读密码,最好能隐藏共享。
问:如何在Windows 98中快速设置代理服务器?
答:在工作站中设置代理服务器的步骤为:在“控制面板”中打开“Internet属性”,选择“连接”选项卡,单击“局域网设置”按钮,在弹出的对话框中选择“使用代理服务器”,然后在下面的地址框中输入代理服务器的IP地址和端口即可。
问:如何取消Windows 98的网络登录对话框?
答:第一步,在桌面上用鼠标右键单击“网上邻居”,打开“网络”属性对话框。
第二步,在“配置”选项卡中,点击“主网络登录”下拉列表框,将默认的“Microsoft 网络用户”(或“Microsoft 友好登录”)改为“Windows登录”,重新启动后即可直接进入桌面。
问:如何给Windows 98工作站加一道“防火墙”?
答:打开注册表编辑器,依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支,在右边窗口空白处单击鼠标右键,新建一个名为“LegalNoticeCaption”的字符串键值项,然后用鼠标双击该字符串,为其设置键值,这里可以输入自己需要的信息标题,如“警告:”。接下来用同样方法添加字符串键值项“LegalNoticeText”=“分区表和系统文件已被病毒严重破坏,导致系统无法正常工作!请马上退出系统,格式化硬盘后再重新安装系统!”,保存后退出即可。
问:如何解决网络组件安装不完整的问题?
答:对于Windows 9x操作系统,可以查看“网上邻居”的属性,检查“属性”对话框中的协议、服务等是否安装齐全。如果工作站已经安装了Windows XP等系统,一般情况下系统会自动安装和配置网络,但个别情况下仍然会存在问题。这时只须在“开始”→“设置”→“网络连接”中,用鼠标右键单击“网络连接”,选择“属性”命令,然后检查TCP/IP协议是否存在即可。如果不存在,则问题往往并不在协议本身,而应当着重检查网络适配器是否安装正确,必要时可卸载后重新安装,一般可解决问题。
问:如何解决网络配置不完整的问题?
答:对于Windows 9x系统环境,只有通过设置“网上邻居”属性、检查Internet选项、检查拨号连接、检查ADSL的安装等来逐个查找。而在Windows XP环境中,可以按照网络自动检测的方法对系统进行全面测试,从而发现问题并加以解决。
问:如何设置Windows 98系统使其能登录到相应的域?
答:用鼠标右键单击桌面“网上邻居”,选择“属性”,选中对话框中的“Microsoft网络用户”,单击“属性”按钮。再选中“登录到Windows NT域”,并在下面的文本框中输入开机时本机要登录的域的域名,单击“确定”并重新启动计算机即可。
问:如何手工编辑创建HOSTS文件?
答:第一步,用记事本编辑一个文本文件,文件名为“HOSTS”,存盘时用半角引号括好,保存到C:\Windows(即系统目录)下。
第二步,编辑域名与主机IP地址的对应内容,格式是“IP地址 空格 主机名”,每行一条。例如,“61.172.201.227 www.sina.com.cn”就是新浪网的IP地址与域名。
第三步,在命令行用Ping命令测试得到常去网站的IP地址,将常去的网址逐一添加保存到HOSTS文件中即可。
问:在Windows 98/Me系统中如何启用文件和打印共享?
答:第一步,在控制面板中双击“网络”图标,显示“网络”对话框。
第二步,单击“文件及打印共享”按钮,显示“文件及打印共享”对话框。
第三步,选中“允许其他用户访问我的文件”和“允许其他计算机使用我的打印机”复选框,允许其他用户访问自己的文件和打印机。
第四步,单击“确定”按钮,返回至“网络”对话框。再次单击“确定”按钮,根据系统提示插入系统安装盘,并重新引导计算机。
问:在Windows 98/Me系统中如何设置共享文件夹?
答:第一步,打开Windows资源管理器,用鼠标右键单击欲共享的磁盘盘符或文件夹,在显示的快捷菜单中单击“共享”,显示“My Documents 属性”(“My Documents”在这里指欲共享的盘符和文件夹)对话框。需要注意的是,在Windows 98/Me中,不仅可以共享某个、某些或全部文件夹,也可以共享某个、某些或全部的磁盘、光驱和软驱。
第二步,选中“共享为”选项,在“共享名”文本框中输入用于识别该共享磁盘或文件夹的名称(一般使用其默认名称即可)。也就是说,该共享名实际上是显示在对方计算机中的该共享磁盘或文件夹的名称。例如,欲将C:\My Documents共享,并将其共享名命名为“Liuhao's Book”,那么,当其他用户从网上邻居中访问该计算机时,所列出的共享文件夹即为“Liuhao's Book”。
第三步,在“备注”文本框中输入描述该共享磁盘或文件夹的注释信息。也就是说,描述信息就是用来告诉其他用户,这个文件夹或磁盘中主要有哪些内容,是用来干什么的,以便于其他用户快速找到共享信息。当其他用户单击“查看”菜单上的“详细资料”就可以看到该注释信息。
第四步,共享的方式有两种,一是只读式共享,二是完全式共享。如果只希望其他的计算机读取该磁盘或文件夹中的文件,而没有修改或删除的权限,应当选中“只读”选项。如果希望在其他计算机上也能够像在自己的硬盘上那样随意地修改和删除文件,那么选择“完全”选项。设置完毕单击“确定”按钮退出。
第五步,重复第二步至第四步,可将多个文件夹或磁盘设置为共享。
问:Windows XP系统下文件共享的安全隐患如何解决?
答:相对于Windows 98,Windows XP系统的文件共享在安全和设置上有了非常大的飞跃。但同样还存在一些问题。主要包括如下两点:
(1)共享文件被篡改
Windows XP系统下的文件共享如果没有特别的设置,将允许网络中的用户更改文件,如果被人利用,就会给用户造成损失。如果不是必需,可以将共享文件夹设置为只读共享。
在文件共享安全属性中,不要选择“允许网络中的用户更改文件”即可,如图6所示。
(2)空会话安全漏洞
Windows XP系统中仍然存在空会话安全漏洞,Windows系统开放这项功能的本意是提供远程共享,给计算机用户带来便利,但是可能会被非法的匿名用户取得访问权,对用户计算机上的资源带来严重后果。同样,可以通过如下的方法来弥补:
打开注册表编辑器(Regedt32.exe)。定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa分支。在其下新建REG_DWORD值项RestrictAnonymous,其数值为1。
最后,退出注册表编辑器并重启计算机,使改动生效。
问:如何通过注册表修改优化Windows XP网络?
答:可以添加以下键值项进行优化修改,如果没有对应键值项就新建一个。
在注册表中打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters分支,分别新建以下键值项:
SackOpts=00000001(双字节,DWORD值)
TcpWindowSize= 0003e640(双字节,DWORD值)
Tcp1323Opts=00000001(双字节,DWORD值)
DefaultTTL =00000040(双字节,DWORD值)
EnablePMTUBHDetect =00000000(双字节,DWORD值)
EnablePMTUDiscovery =00000001(双字节,DWORD值)
GlobalMaxTcpWindowSize =0003ebc0(双字节,DWORD值,如果使用PPPoE连接,推荐使用0003e640)
事实上,许多网络优化工具也是通过修改注册表中的这些键值项来达到优化的效果的。
问:如何在“我的电脑”窗口禁止显示共享文件夹?
答:方法是,在注册表编辑器中找到以下分支HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\My Computer\NameSpace\DelegateFolders,其中可找到一个名为{59031a47-3f72-44a7-89c5-5595fe6b30ee}的子键,删除它便可禁止那些共享文件夹信息的显示。按“F5”键刷新后即可生效。
问:如何实现Windows XP工作站自动登录?
答:打开注册表编辑器找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon分支下面的“AutoAdminLogon”键值项。将其值修改为“1”即可启用自动登录。
问:如何通过网络远程唤醒计算机?
答:第一步,进行硬件及相关准备。首先要确保办公室计算机的主板支持远程网络唤醒功能。可进入CMOS参数设置,查看“Power Management Setup”中是否存在“Wake on LAN”项目,并把它设置为“Enable”。另外,电源必须是符合ATX 2.01标准的电源。
第二步,获取办公室网卡的物理地址。先进入办公室计算机的系统,在命令行输入“Ipconfig /all”的命令,结果中的“Physical Address”后面对应的就是网卡的物理地址。
第三步,作相应的软件准备。安装一款远程开机软件(如Magic Packet)。安装后运行主程序,在“Magic Packets”菜单中输入开机命令,可以远程唤醒一台计算机,也可以远程唤醒多台计算机。
此时就可以尝试远程唤醒办公用的计算机了。选择菜单中的“Power On One Host”,在6组输入框中分别输入上一步获取的远程机器的网卡物理地址,单击“Send”(发送)按钮,程序就发送了一个唤醒数据包到了远程主机中。只要在关机时没有切断电源,则网卡收到数据包的信息后就会激活主板并实现自动开机了。
问:如何通过网络实现Windows XP的远程关机?
答:第一步,赋予Guest用户远程关机的权限。远程用户连接到本地Windows XP系统中时是以Guest身份连接的,而远程关机需要管理员权限,因此要先赋予Guest用户远程关机的权限。启动需要远程关机的电脑,在“运行”对话框中输入“gpedit.msc”,打开“组策略编辑器”。依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用户权利指派”,在右侧窗口中找到“从远端系统强制关机”选项。双击该项目,在弹出对话框中单击“添加”按钮,然后在新对话框中输入用户名“guest”,最后点击“确定”。现在“从远端系统强制关机”的属性中就多出了“guest”用户,单击“确定”按钮退出。
第二步,实现远程关机。在远程机中的“运行”对话框或者命令行中,输入带参数的Shutdown命令,即可实现远程关闭计算机。如果执行“Shutdown –i”命令,则显示关机的图形界面。
问:如何设置Windows XP网桥?
答:第一步,安装设置硬件。使用网桥需要先安装好两块物理网卡,它们分别连接不同的网段,根据系统提示分别给它们指定各自网络的IP地址。另外,如果两块网卡对应的本地连接启用了防火墙,则要在连接属性的“高级”选项卡中将两块网卡对应连接的Internet防火墙功能关闭。
第二步,启用桥接功能。在开始菜单中点击“设置”→“网络连接”,打开网络连接窗口。用鼠标同时选中两块网卡对应的“本地连接1”和“本地连接2”,点击鼠标右键,在弹出的快捷菜单中,选择“桥接”命令。几分钟后,网络桥接就可自动配置完毕,系统托盘中就会多出一个网络桥接的图标,表示网桥配置已经完成了。
问:如何启用Windows XP远程桌面来管理工作站?
答:如果两台计算机均安装Windows XP系统,且已经完成网络连接,则可以通过启用远程桌面来进行查看、管理。启用“远程桌面”的方法是,在工作站打开系统属性对话框,选择“远程”选项卡,选中“允许用户远程连接到这台计算机”。接着选择允许远程连接的用户,点击“选择远程用户”按钮,根据提示选择被允许远程登录的账号(“添加”→“高级”→“立即查找”)。
之后就可以在服务器上远程登录了。点击“开始”→“程序”→“附件”→“通讯”,选择其中的“远程桌面连接”快捷方式,打开远程桌面连接登录对话框。在“计算机”后面的输入框中,输入当前机的IP地址或计算机名,也可点击输入框右侧的下拉箭头,点击“浏览更多”以在网络中选择一台提供有远程桌面服务的计算机。输入完毕,点击“连接”按钮。登录后,远程桌面窗口中就会显示远程机器的桌面,在这个窗口中就像操作本地计算机一样操作即可,当然操作权限视登录时的用户权限而定。
注意:管理员账号默认就具有远程登录的权限,不需另外设置。远程桌面登录时,如果点击“选项”按钮,还可以对远程桌面的屏幕大小、是否重新登录等进行设置,以便远程桌面窗口更加适合当前系统的显示情况。
问:如何排除局域网中其他计算机无法访问Windows XP的故障?
答:首先排除网络连接及协议设置等方面的问题,一般只要能够看到对方,则说明这些故障的可能性不大。出现上述问题可能是由Windows XP本身的特性所造成,应通过对组策略进行适当设置,解决方法如下。
第一步,启用Guest用户。在控制面板的“用户账户”中,选中Guest账户,然后点击对话框中的“启用来宾账户”。
第二步,设置组策略。在“运行”对话框中输入“gpedit.msc”命令(扩展名不能省略),打开组策略编辑器。展开“本地计算机策略”→“计算机配置”→“Windows设置”→“安全设置”→“本地策略”,选择“用户权利指派”,在右侧双击“从网络访问此计算机”。然后点击设置对话框中的“添加用户或组”,将Guest用户添加到列表中。同时还要检查一下“拒绝从网络访问此计算机”的策略项目,双击该项后,查看其中是否有Guest账户,如果有则将它从这个策略列表中删除。
问:如何解决局域网内Windows XP与Windows 98 SE双向访问的问题?
答:第一步,在Windows XP系统中安装NetBEUI协议。在Windows XP安装光盘下找到Valueadd\MSFT\Net\NetBEUI录,里面有三个文件。其中“NetBEUI.txt”作了如下说明:NetBEUI(NBF)是一个不可路由的协议,适用于小规模的网络,Microsoft Windows不再支持此协议。复制 “Nbf.sys”文件到YSTEM-ROOTSYSTEM32\DRIVERS\目录,再复制“Netnbf.inf”文件到 YSTEMROOTINF\目录,打开网络连接属性,单击“安装...” 按钮即可安装 NetBEUI协议。
第二步,查看安全设置是否禁止使用了Guest服务。开启系统Guest用户的方法在前面的问答中有详细的介绍。并且保证在“拒绝从网络访问这台计算机”中去掉Guest用户。此时其他计算机就可以从网上邻居中查看这台计算机的共享目录了。
注意:YSTEMROOT是安装Windows XP系统的目录名。
问:如何安装网络打印机?
答:网络打印一般是基于Windows NT网络环境,使用TCP/IP协议的打印机来实现。它的安装一般主要有如下几个基本步骤:
(1)设置IP地址
在完成打印机与网络的硬件连接后,首先要给打印机分配IP地址。网络打印机IP地址的获得主要通过3种方式,一是打印服务器可以在提供DHCP服务的网络中由服务器自动分配设置;二是由厂商提供网络管理软件,通过服务器或终端分配设置;三是在打印机控制面板上手工配置。在后两种方式下,需要向网络管理员申请此打印机的IP地址,并得到相应的子网掩码,然后在打印机面板或设置软件中将IP地址和子网掩码写入打印服务器中。
(2)创建网络端口
打印机的IP地址设置完成后,在要安装打印机的服务器或终端计算机上创建网络端口,大多数厂商都提供了Windows 9x和Windows NT下的网络端口安装和创建程序,用户可以按照提示创建相应的网络端口。在Windows NT下还提供了一些标准的网络打印端口,其中最常见的LPR方式端口,要使用此种方式,就要在Windows NT中添加TCP/IP Printing服务。
(3)安装驱动程序
在端口创建完成后,就可以像安装普通打印机一样安装打印机的驱动程序,只是在安装过程中不要忘了选中创建的网络端口作为连接打印机的端口。对于Windows NT下安装的打印机有运行Windows 9x的终端共享,还要同时按提示安装Windows 9x下的驱动程序。
(4)客户端的安装
在“开始”菜单的“设置”子菜单下选择“添加打印机”选项,在出现的窗口中选择“网络打印机”,然后在打印机安装向导窗口中输入打印机名称或者Internet或者Intranet下打印机的URL。接着一直按“Next”按钮就可以完成客户端的安装。以后如果还想更改配置,打开网络打印机进行相关的配置即可。
问:网络扫描仪如何安装?
答:下面以UMAX Astra扫描仪为例,具体来说明网络扫描仪安装的几个步骤。
如果要想让办公室中的每个成员都能共享使用同一台扫描仪的话,需要做的一件事情就是在连接扫描仪的计算机中安装共享扫描仪程序,具体步骤为:
将扫描仪的驱动程序安装光盘放置到连接有扫描仪的计算机光驱中,执行安装程序,当安装界面出现“安装方式”选择提示框时,只有选中“一般安装”选项才能实现扫描仪的网络共享功能;当安装向导程序在提示选择需要的安装时,必须将界面中出现的“VistaScan Network Manager”选项选中;当安装向导进行到“请选择要安装的部分”时,必须把“Network Manager”选项选中;
设置好上面的指定选项以后,对其他的设置采用程序默认的参数继续进行安装,直到扫描仪共享所需要的程序安装完成为止。驱动程序安装结束后,重新启动计算机,这样扫描仪的相关程序组就出现在系统的桌面上了,打开对应的程序组后,将可以看到与扫描仪共享相关的几个程序,例如“网络扫描仪服务器”、“网络扫描仪管理者”等。
问:端口映射如何设置?
答:Windows 2000/XP/Server 2003都支持端口映射,而Windows 98/Me不支持该功能。
打开Internet连接属性对话框,在Windows 2000的“共享”选项卡或Windows XP/2003的“高级”选项卡中,单击“设置”按钮,显示“高级设置”对话框。
在“服务”选项卡的“服务”列表中选中欲被Internet访问服务前的复选框,如“Web服务器(HTTP)”或“FTP服务器”,单击“编辑”按钮,显示“服务设置”对话框,如图7所示。
输入要设置端口映射的服务器的IP地址,使该服务器能够被Internet所访问。不同类型的Internet服务应当使用不同的IP地址。单击“确定”按钮,保存设置。
重复上述操作,使网络内的各种服务器都能被Internet访问到。若想远程访问和控制网络内部的Windows XP/Server 2003计算机,应选中“远程桌面”复选框,并指定要控制的计算机的IP地址。
四、无线网络组建疑难
问:AP可以接入多少台工作站?
答:一个AP(Access Point)接入的工作站台数如果太少,成本就太高,如果过多,就会影响速度。为了让无线客户端设备本身有足够之带宽可利用,一般一台支持IEEE 802.11b标准的AP约支持20~30个左右客户工作站为最佳状态。
问:两张无线网卡可以对等传输吗?
答:无线网卡(包括PCI网卡、PCMCIA网卡及USB网卡)都是支持点对点模式的对等传输的,我们只需将无线网卡相关设置中“Network Type”选项改为“ad-hoc”即可。
这里要说明的是,默认的网络模式为“Infrastructure”,所以,我们只要安装好无线网卡,就可以通过AP进行通信。
问:选择无线AP位置时应当注意哪些问题?
答:在无线局域网中,AP位置的设置是相当重要的。一般我们把无线接入点AP放置在什么地方,可以实现最佳的信号呢?
第一,无线AP的位置应当相对较高。无线信号是直线传播的,每遇到一个障碍物,无线信号就会被削弱一部分,尤其是金属物体,更是无线信号的杀手。将无线AP置于相对较高的位置,可以有效地消除无线AP与无线网卡之间的固定的或移动的遮挡物,从而能够保证无线网络的覆盖范围,保障无线网络的畅通。
第二,无线AP应当尽量居于房间的中央。由于无线AP的覆盖范围是一个圆形区域,所以,只有将无线AP置于房间中央,才能保障房间内的每个位置都能接收到无线信号,从而有效地接入无线网络。另外,由于无线网络能够自动调整传输速率,以适应复杂的网络环境。离无线AP越近,无线信号越强,抗干扰能力越大,传输速率也就越高。反之,离无线AP越远,无线信号就越弱,抗干扰能力越差,传输速率也就越低。
第三,不要穿过太多的墙壁,尤其是浇注的钢筋混凝土墙体。实验表明,在10m的距离,无线信号穿过两堵砖墙后,仍然可以达到标称的最高的传输速率,但穿过一层楼板后,传输速率将只有标称速率的一半了。可见,钢筋混凝土墙体会极大地削弱无线信号。因此,两层或两层以上建筑,尽管垂直距离不会超过30m,仍然建议在每一层楼都单独设置一个无线AP,以保证本楼层内能够被无线信号所覆盖。另外,如果房间的隔间比较多,那么,应当保证无线AP与无线客户端之间不超过两个墙体,否则就应当考虑安装多个无线AP,以保证无线信号的强度。无线AP之间,需要借助于以太网络连接在一起。也就是说,应当为一个无线AP布设一条双绞线,并借助于交换机或其他集线设备,将这些无线AP连接在一起。
第四,多无线AP的覆盖范围应当重叠。随着距离的延长,无线信号将越来越弱,传输速率也不断下降。因此,为了保证有足够的网络带宽,就必须应当使每个无线AP的覆盖区域有少量的重叠,如下图所示。另外,每个无线AP的覆盖范围均为圆形区域,因此,只有覆盖范围少许重叠后,才能尽可能多地减少无线盲区,使无线网络覆盖到整个房间。
问:如何配置无线接入点?
答:当无线网络中安装有无线AP时,除了必须设置无线路由和无线AP外,客户端的设置也和安装无线AP时稍有区别。无线基础架构由唯一网络名标识,因此,需要连接至此网络并配备所需硬件的所有设备均必须使用相同的网络名进行配置。
下面,我们以D-Link无线AP DWL-900AP 为例,简单介绍无线接入点的配置。DWL-900AP 默认的IP地址为“192.168.0.50”,子网掩码为“255.255.255.0”。管理员账号为“admin”,密码为空。
第一步,将计算机以太网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.50”,并回车,显示用户登录窗口。
第二步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示配置主窗口。
第三步,选择“Home”标签,单击“Wireless”按钮,显示无线配置页面。在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由使用的信道。当只有一个无线AP或无线路由时,可以选择任意信道;当拥有两个或两个以上AP,并且无线信号的覆盖范围重叠时,则应当为每个AP设置不同的信道。
第四步,单击“LAN”按钮,显示局域网配置页面。选中“Static IP Address”选项,为该无线AP指定静态IP地址。分别在“IP Address”和“Subnet Mask”框中键入该无线路由的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0~10.255.255.254”中的任意一段IP地址。若网络内安装有DHCP服务器,则可以选择“Dynamic IP Address”选项,让该无线AP自动获取IP地址。
第五步,单击“DHCP”按钮,显示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。如果选择“Disable”选项,则需要为无线客户端分别输入IP地址信息。
第六步,单击“Apply”按钮,保存对设置的修改,重新引导无线AP。
如果网络中还有无线AP,那么,另一个无线AP也必须设置相同的服务名(SSID),LAN端口也必须设置为同一IP地址段的IP地址,并且禁用动态IP地址分配。另外,无线AP之间不得采用同一信道,以避免互相干扰。
问:如何配置无线网络客户端?
答:第一步,当无线AP或无线路由配置完成后,无线客户端将显示 “无线网络连接”对话框,提示当前可用的网络。如果无线网络没有采用加密传输,应当选中“允许我连接到选择的无线网络,即使它是不安全的”选项。如果采用WEP加密,则需要单击“高级”按钮,在“无线网络属性”对话框“关联”选项卡中选中“数据加密(WEP启用)”选项。
第二步,单击“连接”按钮,将建立与无线AP的连接。
单击“属性”按钮,在“无线网络连接属性”对话框中点击“无线网络配置”选项卡,显示当前使用的无线连接。默认状态下,无线客户端将自动获取IP地址,适用于以ICS或无线路由方式共享Internet连接。如果该客户端未找到无线AP,可以单击“刷新”按钮,自动扫描并发现可以使用的无线网络。
无线网络的资源共享、打印共享和Internet连接共享设置与以太网络的设置大致相同,此处不作重复介绍。
问:独立无线局域网如何联网?
答:无线局域网在很多情况下是作为有线局域网的延伸存在的,而独立式无线局域网则是指网内的各台计算机之间构成一个独立的网络,不与其他有线局域网或无线局域网互连,这属于最简单最典型的无线局域网结构。它通常可以分为两种联网方案,即对等无线局域网和接入点对等无线局域网。
问:对等无线网络如何搭建?
答:对等无线网络方案只使用无线网卡。因此,仅仅在每台计算机上插上无线网卡,即可实现计算机之间的连接,构建简单。这时,只需使用诸如Windows 9x/2000/XP等操作系统,就可以在无线信号覆盖范围内,使计算机之间共享资源和Internet连接了。在该方案中,台式计算机和笔记本电脑均使用无线网卡,没有任何其他无线接入设备。
由于无线网络的传输距离有限,计算机彼此之间都必须在有效传输距离内,否则根本无法实现彼此之间的通信。也就是说,无线网络的有效传输距离即为该无线网络的最大直径,在室内通常为30m左右。事实上,家庭内所有的计算机都应当在这个范围之间。因此,从节约资金的角度考虑,完全可以采用对等无线网络结构。
无接入点的对等无线网络需配置好每个计算机的无线网络。由于Windows XP提供了对无线网络的支持,可直接在“网络连接”窗口中进行设置,而无需安装无线网络客户端。如果是Windows 98/ 2000操作系统,则必须安装无线网卡所提供的客户端软件,并借助于该软件配置无线网络。
第一步,打开“网络连接”窗口,右键单击“无线网络连接”图标,选择“属性”命令,打开“无线网络连接 属性”对话框。
第二步,点击“无线网络配置”选项卡,选中“用Windows来配置我的无线网络配置”选项(默认被选中),启用自动无线网络配置。
第三步,单击“添加”按钮,打开“无线网络属性”对话框,在“服务名(SSID)”中键入一个自己喜欢的家庭网络名称,并取消“数据加密”选项。单击“确定”按钮返回。
第四步,单击“高级”按钮,打开 “高级”对话框。确认选中“任何可用的网络(首选访问点)”选项(系统默认值)或“仅计算机到计算机(特定)”选项。
需要注意的是,在首选访问点无线网络中,如果有可用网络,通常会首先尝试连接到访问点无线网络。如果访问点网络不可用,则尝试连接到对等无线网络。例如,如果工作时在访问点无线网络中使用笔记本电脑,然后将笔记本电脑带回家使用计算机到计算机家庭网络,自动无线网络配置将会根据需要更改无线网络设置,无需用户作任何设置就可以直接连接到家庭网络。
在其他计算机上作相同的设置(必须使用相同的服务名),然后在“无线网络配置”选项卡重复单击“刷新”按钮,建立计算机之间的无线连接,表示无线网络连接已经成功。
由于Windows 98/2000/XP可以自动为计算机分配IP地址,也就是说,即使没有为无线网卡设置IP地址,计算机也将自动获得一个IP地址(169.254.0.1~169.254.254),并实现彼此之间的通信,从而共享文件夹和打印机。
问:如何搭建接入点无线网络?
答:所谓接入点网络,是指在无线网络中拥有一个类似于以太网集线器的接入点,计算机之间的无线连接借助于该接入点完成。接入点网络使用一个无线访问点(AP)和若干无线网卡。该方案与对等无线网络方案非常相似,所有的计算机中都安装有一块网卡。所不同的是,独立无线网络方案中加入了一个无线访问点。无线访问点类似于以太网中的集线器,可以对网络信号进行放大处理,一个工作站到另外一个工作站的信号都可以经由该AP放大并进行中继。因此,拥有AP的独立无线网络的网络直径将是无线网络有效传输距离的两倍,在室内通常为60m左右。
当无线网络用户足够多时,应当在有线网络中接入一个无线接入点(AP),从而将无线网络连接至有线网络主干。AP在无线工作站和有线主干之间起网桥的作用,实现了无线与有线的无缝集成,既允许无线工作站访问网络资源,同时又为有线网络增加了可用资源。该方案适用于将大量的移动用户连接至有线网络,从而以低廉的价格实现网络直径的迅速扩展,或为移动用户提供更为灵活的接入方式。有接入点对等无线网络需要先将接入点AP及其IP地址设置好,然后再设置无线网络客户端,使之建立与无线AP的连接,并添加至相应的AP网络。
问:对等无线网络如何共享Internet?
答:Windows 98/2000/XP都内置有Internet连接服务,设置和使用很简单,非常适合于用户数量不多、且缺乏专职网络管理人员的SOHO。作为Internet连接服务器的计算机必须同时拥有2个网络连接,一个是Internet连接;另一个是局域网连接。在这里,局域网连接就是无线网络。
在对等无线网络共享的拓扑结构中,台式机除安装有一个USB接口无线网卡外,还安装有一块以太网卡用于实现与ADSL Modem或Cable Modem的连接,或者直接连接至小区宽带的以太网信息插座。
事实上,该方案除了不需要集线器,并使用无线网卡取代以太网卡外,与集线器方案非常相似,也需要一台ICS或代理服务器主机才能实现Internet共享接入。
问:独立无线网络如何共享Internet?
答:在实现Internet共享时,独立无线网络与对等无线网络完全相同,即需要将网络中的一台计算机设置为Internet连接共享服务器,而且该计算机必须同时拥有Internet和无线连接。
从某种意义上来说,该方案与集线器方案完全相同,只是将集线器替换为AP,将以太网卡替换为无线网卡而已。与集线器方案相比,无线网络拥有更大的灵活性和可移动性,更适合SOHO和家庭用户使用。
问:无线网关如何实现Internet连接共享?
答:所谓无线网关,是指集成有简单路由功能的无线AP。从某种意义上来说,无线方案与宽带路由器方案完全相同,只是将无线网关替换为宽带路由器,将以太网卡替换为无线网卡而已。与宽带路由器方案相比,无线网关拥有更大的灵活性和可移动性,更适合SOHO和家庭用户使用。
由于无线网关拥有DHCP和地址映射等诸多功能,因此,无需再在网络中安装Internet共享服务器,只需对无线作相应的设置即可。在拓扑结构上,无线网关方案与独立无线网络方案有些相似,只是不再需要代理服务器,而是将无线网关直接连接到Internet链路上。
采用无线网关实现Internet连接共享时,只需为每台计算机配置一块无线网卡,并将无线网关直接连接至ADSL或Cable Modem的以太网端口即可。
由于无线网关仍然属于无线AP,信号覆盖范围和信号传输方式与无线AP毫无二致,因此,无线网关方案也只适用于计算机数量较少,且彼此相距不远的小型网络。
问:无线路由器如何共享Internet?
答:当无线网络中的计算机数量较多时,可以借助于无线路由器实现Internet连接共享。另外,采用多LAN端口无线路由器,还可同时为以太网用户和无线网络用户提供Internet连接。只需将WAN连接至ADSL Modem或Cable Modem,将LAN连接至计算机或集线设备,并作相关配置,即可实现Internet连接共享。
AP与无线路由器的配置基本相同,只是无线AP无需配置WAN端口。下面,我们以D-Link DI-614 为例,介绍一下无线路由器的配置。DI-614 默认的IP地址为“192.168.0.1”,子网掩码为“255.255.255.0”。管理员账号为“admin”,密码为空。
第一步,将无线网卡的IP地址设置为“192.168.0.2”,子网掩码为“255.255.255.0”,打开Web浏览器,在“地址栏”中键入“192.168.0.1”,并回车,显示用户登录窗口。
第二步,在“用户名”框中键入“admin”,“密码”框保持为空,单击“确定”按钮,显示配置主窗口。
第三步,选择“Home”标签,单击“Wireless”按钮,显示无线配置页面。选择“Enabled”选项,启用该无线网络的无线接入点功能,并在“SSID”框中键入家庭无线网络名称。由于加密传输会对性能和传输速率有较大影响,所以,若无需加密传输,可在“WEP”栏中选择“Disabled”选项。在“Channel”下拉列表中可以选择该无线路由器使用的信道。当室内只有一个无线AP或无线路由器时,可以选择任意信道;当室内拥有两个或两个以上AP,或者与其他家庭无线AP的覆盖范围有重叠时,则为每个AP或路由设置不同的信道。
第四步,单击“WAN”按钮,显示广域网配置页面。如果住宅小区提供动态IP地址服务,可选择“Dynamic IP Address”选项;如果小区为每个用户分配了静态IP地址,则应当选择“Static IP Address”选项,然后,依次在“IP Address”、“Subnet Mask”、“ISP Gateway Address”、“Primary DNS Address”、“Secondary DNS Address”框中键入IP地址、子网掩码、默认网关、主DNS的IP地址和辅DNS的IP地址;如果采用ADSL接入Internet,则应当选择“PPPoE”选项,然后分别在“Username”和“Password”框中键入在ISP申请的用户名和密码。
第五步,单击“LAN”按钮,显示局域网配置页面。分别在“IP Address”和“Subnet Mask”框中键入该无线路由器的局域网IP地址,用于实现与局域网的连接。如果小区没有采用“192.168.0.0”私有IP地址段,可以采用系统默认值。如果与小区使用的IP地址段发生冲突,可以使用“172.160.0.0 ~172.16.31.254”或“10.0.0.0 ~ 10.255.255.254”中的任意一段IP地址。
第六步,单击“DHCP”按钮,显示动态IP地址分配页面。选择“Enable”选项,启用DHCP服务,无线网络中的客户端只需采用系统默认的“自动获取IP地址”和“自动获取DNS服务器的地址”选项即可,无需再为每个客户端设置IP地址信息。然后,分别在“Starting IP Address”和“Ending IP Address”框中分别键入欲分配的IP地址的起止范围。
第七步,单击“Apply”按钮,保存对设置的修改,重新引导无线路由器。至此设置完成。
问:无线局域网有哪些安全弱点?
答:对于无线局域网来说,只要在其信号覆盖范围之内,任何人都可以给自己的移动终端安装上相关的软硬件设备,轻松获取无线局域网的相关信息。目前,无线局域网主要在以下环节存在漏洞:
(1)网络设计缺陷
例如在重要资料集中的内部网络中设置AP访问点。这时在外围的防火墙将起不到任何保护作用,入侵者只需要以该AP为入侵点,即可以对内部网络进行攻击。
(2)信号覆盖范围过大
主要表现在对于不需要信号覆盖的范围没有采取屏蔽措施,使得散布出去的信号就可能被攻击者利用。
(3)802.11b加密措施自身存在问题
由于802.11b采用WEP在链路层进行RC4对称加密,而该种加密方式本身就存在严重的安全漏洞。
(4)无线终端认证方式脆弱
通常无线终端通过递交SSID作为依据接入AP,而这个SSID都会由AP向外广播,很容易被窃取。
(5)很难避免拒绝服务攻击
无线局域网的带宽比较有限,而其采取的频率和微波炉、蓝牙手机等设备相同。也就是说这些设备会对无线局域网形成干扰。如果人为恶意地增加这种干扰,就很容易形成消耗带宽的拒绝服务攻击。
问:无线局域网的安全原则有哪些?
答:可以采取以下一些措施:
(1)规划无线网络工作时间
在假期、休息时间中,如果条件允许的话可以关闭无线局域网络。
(2)采用技术处理
例如安全令牌、数字证书等。
(3)按需使用天线
如果使用定向天线可以满足需要的话,那么就不要使用全向天线,因为那样会导致周围360°都在信息覆盖范围,很容易受到攻击。
(4)建立安全体制
规定员工的使用制度、口令保密方法等各项规定,并要求全体员工认真执行。对违反者需按规定处理。
问:无线局域网所受到的信号干扰主要表现在哪方面?
答:主要表现在两个方面:
(1)附近设备干扰
目前,我们使用的无线局域网采用的是ISM(工业、科学、医学)无线频段,其中常用的IEEE 802.11b/g标准使用的是2.4GHz工作频率(IEEE 802.11a标准使用5.8GHz工作频率),与微波炉、蓝牙设备、无绳电话等家用设备使用相同的工作频率。
因此,在使用无线局域网时容易受到这些无线设备的射频干扰,例如,在家里靠近无线网络设备的地方使用微波炉,使用的是S段(频率为2.4~2.5GHz),那么无线局域网的信号将受到严重干扰,而出现信号延迟、信号时断时续或者干脆中断等情况。
除了微波炉外,无绳电话、蓝牙手机、复印机、防盗装置、等离子灯泡等也会产生干扰。
(2)同类设备干扰
同类设备的干扰主要来自于附近,例如,同楼层、相邻建筑物的无线AP或无线路由器的干扰。
随着,无线局域网的发展,目前很多家庭、公司等都安装了无线基站,如果在无线信号覆盖范围内的无线AP或无线路由器使用相同的信道,例如,一个是IEEE 802.11b无线网络(使用6信道)、另一个是IEEE 802.11g无线网络(同样使用6信道),那么可能会产生,造成网络速度下降、信号不稳定等情况,如图8所示。
问:对于信道冲突我们应该怎么面对?
答:如果相邻的或同楼层的无线局域网使用了相同或相近的信道,那么在无线AP覆盖范围内可能会出现信道冲突。
我们知道,IEEE 802.11b/g标准规定工作频率在2.4~2.4835GHz,传输速率分别为11Mbps、54Mbps,这些频率又被分成11或13个信道。IEEE 802.11b/g标准只支持3个不重叠的传输信道,只有信道1、6、11或13是不冲突的。不过,使用信道3的设备会干扰信道1和信道6的设备,使用信道9的设备会干扰信道6和信道13的设备。
提示:IEEE 802.11a标准工作频率为5GHz,有12个不重叠的传输信道,传输速率范围为6~54Mbps,不过,IEEE 802.11a标准与IEEE 802.11b/g标准不兼容。
要解决信道冲突的问题,可以手工来修改信道值,以避免信道冲突。以TP-LINK TL-WR245 1.0无线路由器为例(下面的所有操作均以该产品为例),具体的设置步骤如下:
首先,使用网页浏览器输入无线路由器管理页面的地址,例如,192.168.1.1,输入用户名(默认为空)和密码(默认为admin)。在打开的管理页面中,在右侧的页面中可以看到“频道”设置选项,可以将其修改成1、6、11或13。最后单击“应用”按钮即可,如图9所示。
问:怎么防范MAC地址欺骗和会话拦截?
答:在IEEE 802.11i标准没有广泛应用之前,我们只有借助于一些常规的手段来防范。例如,设置MAC地址访问控制、并定期进行更新,关闭DHCP服务器等。
(1)MAC地址过滤
每一块无线网卡在出厂之前都设定了MAC地址,该地址跟IP地址一样是唯一的,一般是无法更改的。在无线局域网中,无线AP或无线路由器内部可以建立一张MAC地址控制表,只有在控制表中列出的MAC地址才是合法可以连接的无线网卡,否则会拒绝连接到该无线网络,如图10所示。具体设置方法如下:
打开管理页面,在左侧单击“无线设置”,在右侧的“终端MAC过滤”区域选中“允许”选项,单击“应用”按钮启用MAC地址过滤功能。然后回到该页面单击“终端MAC过滤”区域下方的“有效MAC地址表”按钮,打开的窗口会显示有效的MAC地址,选中这些地址,单击“更新过滤列表”按钮,在打开的窗口中可以添加其他的MAC地址,添加到该过滤列表中的MAC地址对应的计算机将不能连接到该无线网络,如图11所示。
此外,除了MAC地址过滤功能外,有的无线AP或无线路由器提供了MAC地址访问控制功能,通过该功能可以控制访问Internet的计算机。在下面的内容中我们将介绍这方面的内容。
提示:MAC地址过滤功能一般适用于规模不大的无线网络,对于规模比较大的企业来说,所组建的无线网络包括多个无线AP,无线客户端并可以进行漫游,就需要通过Radius(远程验证拨入用户服务)服务器来提供更加复杂的过滤功能。
(2)关闭DHCP服务器
在无线局域网中,通过DHCP服务器可以自动给网络内部的计算机分配IP地址,如果是非法入侵者同样可以分配到合法的IP地址,而且可以获得网关地址、服务器名称等信息,这样给网络安全带来了不利的影响。
所以,对于规模不大的网络,可以考虑使用静态的IP地址配置,关闭无线AP或无线路由器的DHCP服务器。关闭的方法比较简单:以无线路由器为例,打开的管理页面,在左侧的页面中单击“DHCP设置”,在右侧页面的“DHCP服务器”中,将“起始IP地址”设为“禁止”,单击“应用”按钮即可。
问:什么是流量监听?
答:因为IEEE 802.11无线网络自身的特点,容易被暴露在大庭广众之下,任何无线网络分析仪都可以不受任何阻碍地截获未经加密的无线网络流量,例如,AiroPeek NX、Airodump等。AiroPeek NX可以利用WildPackets的WLAN分析技术来进行如延时和流量分析、主机图和会话图以及几十种常见的故障诊断等,可以对无线网络进行精确的全面的分析。
除了无线网络分析软件外,还有的无线网络扫描工具也可以进行流量的监听,例如,Network Stumbler,该软件不仅可以搜索到无线网卡附近的所有无线网络,还可以显示包括MAC地址、速度、频道、是否加密、信号、连接类型等信息,通过这些信息,入侵者可以很容易地进行非法接入并试图进行攻击。
问:WEP如何加密?
答:为了防止入侵者通过对监听的无线网络流量分析来进行攻击,网络的加密还是必须的。目前,无线网络常见的加密方式就是WEP。
(1)无线AP端
要启用WEP加密,首先需要在无线AP或无线路由器端开启该功能,并设置密钥。
以无线路由器为例,打开管理页面,单击左侧的“基本设置”,然后在右侧的“WEP”区域选择“开启”选项,并单击右边的“WEP密钥设置”按钮,在打开的窗口中可以选择创建64位或128位的密钥,例如,选择64bit,输入密码短语(由字符和数字组成),单击“创建”按钮将自动创建4条密钥(128位只能创建一组密码),记下其中的一组密钥。单击两次“应用”按钮使无线路由器的WEP密钥生效。
(2)无线客户端
在系统中打开“无线网络连接属性”对话框,单击“无线网络配置”选项卡,在“首选网络”中选择设置加密的无线网络名称,单击“属性”按钮。接着在打开的对话框中选中“数据加密(WEP启用)”选项,取消“自动为我提供此密钥”选项,在“网络密钥”框中输入在无线路由器中创建的一组密钥。连续单击“确定”按钮即可。
提示:如果在无线客户端没有设置WEP密钥,那么在连接加密的无线网络时,将无法连接,有的系统可能会提示输入网络密钥,例如,Windows XP。
问:如何设置网络访问控制?
答:通常情况下,无线AP或无线路由器都提供了网络访问控制功能,常见的包括有IP访问控制、URL访问控制和MAC访问控制。
(1)IP访问控制
通过IP访问控制可以对网络内部计算机服务端口发送的协议数据包进行过滤,来控制局域网内部计算机对网络服务的使用权限。例如,要禁止无线局域网内部192.168.1.101~192.168.1.110的所有计算机禁止使用QQ、FTP,可以进行如下设置:
以无线路由器为例,打开管理页面,在左侧单击“访问控制”,在右侧的页面中单击“IP访问设置”,在协议中选择“UDP”,输入192.168.1.101~192.168.1.110,在端口范围中分别输入4000、8000(设置QQ访问控制);然后在协议中选择TCP,输入192.168.1.101~192.168.1.110,在端口范围分别输入21、21(设置FTP访问控制)。单击“应用”按钮即可,如图12所示。
(2)URL访问控制
通过URL访问控制功能可以限制无线局域网内部计算机允许或禁止访问的网站。例如,要指定允许访问的网站,可以打开“访问控制”页面,在右侧的页面中单击“URL访问设置”。接着,在“URL访问限制” 选择“允许”表示启用URL访问控制。然后在站点中添加允许访问的网站,一共可以添加20个站点。单击“应用”按钮完成设置。
(3)MAC访问控制
在前文中,我们已经介绍了无线AP的MAC地址过滤功能,除此之外,通过MAC访问控制功能可以对无线局域网中的某一台或多台计算机进行控制,限制他们访问Internet。首先,打开“访问控制”页面,单击“MAC访问设置”。接着,输入MAC地址,该无线路由器提供50组的MAC地址过滤,在1~10地址中,输入最多10个MAC地址。单击“应用”按钮完成设置。