技术经验帖：无线路由器无线设置

[复制本帖链接]咪咪发表于 2011-01-01 12:41:33              [此帖被浏览 67240 次,回复 47 次] 最后由 咪咪 于 2011-02-05 15:33:32 修改 本主题由 冬冬 于 2011-01-04 16:45:36 设为精华1，原因：技术分享 纠正须知：
由于最近看这帖子的人多了，发觉有点臭骂的的氛围，所以我要严重纠正一下。
Re:[lpz525,38楼] 以下是引用 lpz525 于2011-01-29 01:48:33 在38楼的发言： 如果楼主真是资深蹭网者就应该知道只需设置WPA复杂密码或关闭DHCP及设置非常规网关和IP且不设密码（这是最安全的 蹭网者连攻击的欲望都没）
首先，我不是说要解决被蹭的办法，如果是真的解决的话，我当然会说我不是写这个。

其次我写这个就是因为有人不知道如何在没有人帮助的情况下设置无线路由，而我就是从这个角度考虑，详细介绍如何设置无线的。而不是按照GM在主页写的设置了无线就能防蹭。

当然设置无线防蹭只是一个最基础的防护，当然一山还有一山高，但是蹭网者多数都是知识比较低下的最求便宜省钱的态度，否则他们为啥不去报上网呢？？？

所以请各位看此贴的人请理解清楚本人写的目的，不要一时的耍点小聪明就说XXX就是XXX的事情。我不喜欢这样的结果，毕竟我已经将很多的心机放在这里，至少寒假工我放下不做了。每晚深夜有空的时候才看帖子，还不停研究怎么设置，毕竟我出路就是网络安全方面。

另外我也很理解那些TPY的员工，那天拿奖品的时候见到前台员工不停在电脑前面打啊打啊，有时候离开一整天面对电脑的工作岗位走到茶水间装水是很小的事情，但若是你，你会是怎么想的？？难免会出现理解错误打错字的事情发生。

同时我也很理解各位网友，因为自己语文功底非常不好，看帖子非常吃力，所以一般有问题我会给予纠正，好的回复我会将它们贴到自己的版面上来。

不过，看帖要有头有尾~~~犹如看报纸，看了头版了看了标题了就什么不看这是不好的行为。娱乐八卦新闻就是这样的报道，10单至少4-5单是假消息。我自己就看了笑笑就算数了，毕竟是工作，做不好就被扣人工。就这么简单。

以下是本帖子主要内容：



由于上个星期我太忙了~~~~跟人家修笔记本跑天河可是拿不到外置DVD光驱，被拖到今天才开始讲如何设置无线路由器的无线功能。至于QOS功能可以查找我发的帖子。（我很少发帖的，别找我回帖的，找到人发癫）

附带视频传送门：http://www.tp-link.com.cn/pages/cfg/WirelessSecuritySetting.htm

好了，废话不说了，开始讲解：

进入路由器怎么进入就不说了，之前QOS设置有讲过。
链接：技术经验贴：路由器的QOS设置详解

进入后在左手边有这个

点中无线设置在右边出现这个（我用的是TP-W89541G路由器，其他路由器有些许区别）


这里，有几个参数：
SSID号：这个是无线识别的名字，默认是路由器的名字或者是路由器名字+路由器MAC最后几位
一般最好设置成英文，某些路由器可以用中文名设置成SSID，但是这个不是所有的无线设备会通用（比如本人之前用的IPTIME G200U无线网卡，找到一个中文名的SSID时候变成乱码，用WINDOWS自带的完全无法识别，用搜信号的工具才能查到原来用了中文名）

信道：这个是设置无线信号使用的频率，具体频道变成的频率自己查资料，很容易查的。
一般最好选用6、9、11，这样穿越比较好。最好不要选择自动。选择自动的话，如果路由器RP好的话选高频道的信号可以传到很远（我以前设置了9的时候，可以从9楼传到4楼，连续穿墙），如果RP不好的话，穿两面墙信号超差了（昨晚我修笔记本的时候，路由器出故障，将信道设置为自动，路由器自动选了2频道，搞到我整晚上网超慢（路由器在电脑房，我房间距离也就隔着2面墙+衣服）平时用9频道完全没问题的）

传送模式选择，G的路由器只有两个G和B通道选择，如果是N路由器就有三种。某些路由器支持混合或单独一个模式的。居于兼容性的考虑，最好选择兼容模式（B+G+N）

WDS桥设置：
如果需要两个无线连接的话，可以使用WDS（WDS可以增强某些死角落没信号的情况，但是要求双方路由器支持WDS或者网桥模式，否则只有一个支持一个不支持是无法建立的）

在使用WDS桥前，需要用无线网卡（最好用笔记本）检查主路由器的发射距离，如果某个地方没信号了，就找到有信号的地方（最少都要有1格）放一个无线路由设置WDS这样才有效果，否则两台无线路由是无法识别到的。

无线安全设置


无线安全设置是最关键的，如果设置不好的话容易出现蹭网的情况，网络就会被恶意利用。

首先就是选择加密模式，一般就有WEP、WPA、WPA2三种，还有一种是按一个按钮直接对联的一个东西（具体名字忘记了）
推荐选择WPA2-PSK或者WPA—PSK，，用WPA兼容性更高。但是选择了WPA或者WPA2之后，算法关键不能选择TKIP，而要选择AES模式，不然BT软件一样能破解TKIP的密码（时间长短问题）至于为什么不能选择TKIP的各位可以找回一张攻击MM家的无线路由器的帖子。里面就有TKIP的缺陷。

之后就是PSK密码，一般建议设置超过8位（8位含英文+数字+点）我的设置为最长的两个名字的密码，21位，各位不用旨意破掉我这个21位超长密码~~~如果是黑客破的话，等1年都破不了。

组密更新周期最好越密越好，如果设置成不更新的话容易被破解（因为不更新就不会变化加密解密算法）

下面是MAC过滤

这里的MAC过滤特指无线网络的MAC过滤，对于有线蹭网是无效果的，建议使用通用MAC过滤（安全设置里面）这里介绍下使用办法（通用MAC过滤一样设置）
添加新条目之后出现以下这个

根据要屏蔽的电脑的MAC地址去掉-填入MAC地址。描述自己可以随便填写（至少知道为什么要屏蔽），按保存就OK了（MAC地址可以从DHCP服务器客户端那边可以查到。如果有支持流量监控的，打开流量统计就能知道某个IP对应的MAC地址，但是这个不能识别那台电脑的名字是什么但是监控屏蔽准确性是100%）


无线高级设置一般就是设置成默认就可以的了，但是如果保障无线安全的话可以进行修改

BEACON时槽其实就是SSID广播包发送的间距，用于客户端搜索无线路由之用，连接后还能检测路由器是否在线的设置

RTS这个是专门用来保障客户端与路由器同步的间距

分片就是和MTU差不多的原理，这个是专门控制无线数据包的大小，如果超过了要分拆数据包再发送。所以为什么无线这么容易断线延迟大跟这个有关（这个是我的想法，实际使用自己摸索）

DTIM是传输指示消息间距设置

WMM就是使路由器可以处理带有优先级信息的数据包，勾上后，使用无线浏览视频会顺畅得多。（不会经常出现缓冲情况）

以上就是无线路由器的设置~~~~

后记：为什么不关闭DHCP功能，采取静态IP地址方式呢？
首先，多数使用路由的是初级者，基本上只会玩什么都不知道，关闭DHCP功能，若这位初级者要重装系统或者买了新网络设备，但是没有DHCP的照应就很难做了（一般初级者每3个月电脑会出现故障，而一般处理办法就是重装系统）即使有人说：叫他们去手动IP地址咯，即使写明白怎么操作，没有图形化的说明如何设置？？他们可以说这样的一句：神龙茶（迷迷糊糊）


另外为什么我不将蹭网的内容嵌入进去？（重点）
因为是说的是基础内容，蹭网的应该属于安全方面，安全方面就应该是另外一方面的，以前的钓鱼打击蹭网帖子有很多，不至于为什么要找我的帖子来说为啥你的帖子就单纯说加密就完事？其实这里无线加密至少起到基础防护的作用。因为现在多数人都是电脑盲的，只会用什么都不会。好比如电脑坏了，他只会讲电脑坏了，就不知道电脑怎么坏的，动了哪些手脚，搞了什么，出现的故障情况是什么他一概不知，唯一的解决办法就是：找维修的。所以为什么现在招聘的网管是这么难做经常OT就是这个原因。不明白的故障要网管自己摸索。回来这里，他们电脑盲的上不了网就当然打电话找卖家去搞的了，卖家哪有那么多时间去搞一个人的电脑，当然有高加密的算了，低加密的就去破~~就这么简单。我接过这样的怪事，情况就是这样。（现在卖的100000G的卡王蹭网破解最新的BT5就是奶瓶，没区别的，出了问题换连接咯，一位卖卡王的人就是这样说）


为什么TPY主页写的是国产路由无线设置防蹭的啊？？
这个只能关TPY的问题，理解有误。也许想是通过这样设置达到基础防蹭的目的所以就写防蹭了。其实实际上是写基础内容，如何设无线设置。

下面是回复层的回复：
Re:[zphx,6楼] 以下是引用 zphx 于2011-01-14 11:18:58 在6楼的发言： 说实在的，较好的加密是采用WPA2，加密算法用AES
要是用自动的话，它会自动设置成WPA

另外组密匙更新周期只给30秒会有很多兼容问题！

我也有时候觉得，其实只给30秒更新可能有时候是连接不上，需要重复连才行，不过安全第一，要经常换才行。

另外，最好用WPA2的话有些老的无线网卡是不支持WPA2的，容易出现误导为网卡或者路由器坏了。

使用自动的话，路由器会根据使用端兼容程度会自动调整加密程度，比如新的网卡路由自动选WPA2，而比较老的11B网卡会自动选WPA

Re:[xwm_1978,7楼] 以下是引用 xwm_1978 于2011-01-17 11:23:03 在7楼的发言： 使用MAC过滤后，不设密码也可以吗？

可以，但是要设置比较严格点。一般设置了MAC过滤，若蹭网者用工具查到某客户端连接的是无加密的会通过克隆MAC地址来实现。当然现在的蹭网者没有这么高的水平去更改MAC或者查别人的。

网友的看法：（对于防蹭方面）
设置MAC地址过滤是最简单方便的。

（建议大家设置MAC过滤的同时也设置超复杂的WPA密码，因为WPA兼容旧的无线网卡，又可以让蹭网者以为有机可乘，花了大量的时间来破解密码，到时破解了却被路由器用MAC地址过滤让蹭网人欲哭无泪！呵呵）


设置了MAC地址，如果有朋友想上你的无线网,麻烦一点点，要在你的路由器里加入你朋友的MAC地址。（使用除列表外的MAC不允许上网）

Re:[傲娇棉花糖,32楼]  以下是引用 傲娇棉花糖 于2011-01-25 14:24:26 在32楼的发言： LZ漏了几点！！

1.部分路由支持汉字SSID，可以的话建议汉字更强大（我家的不支持）（多数是不支持的，只有少许部分是支持，但是使用后要用专门的无线网卡软件才能连接）

2.修改路由器IP地址，一般默认192.168.1（100）.1（0），我们改一个诸如174.193.77.88，反正就是不合常理的，让你猜，怎么猜（一般SOHO路由器规定是C类型地址，只能修改后面两对，也就是前面192.168是锁死的）

3.关闭DHCP服务，这样客户端无法自动获取IP、网关等，即需要手动设置客户端网卡

4.MAC-IP绑定，就是指定某个MAC必须为指定IP才能正常使用，就算MAC和密码都正确（蹭网者可以克隆你的MAC），IP没对上还是徒劳

综合2、3、4条，蹭网的人不知道IP，就算送他密码都没用。

也就是，把这几点都补充上去的话

除了密码本身，路由IP、客户端IP和MAC都等同于密码一样的存在！！！


实战问题：

1.MAC不要过滤！！！！MAC过滤只是种无意义的装饰
因为部分蹭网者是不会死心的，让他发现MAC过滤了的话，他干脆克隆MAC。而MAC克隆是非常简单的，很多软件一看，就知道有哪些MAC与路由器相连，观察连接时间最长一个就是合法用户的MAC了。
MAC重复就冲突了，然后只要他连接你的路由器，不管密码成功破解与否，合法用户都无法正常上网的~~~~！！
还不如不过滤，让他瞎折腾。破密码，然后他还得碰IP碰网关，1-255.1-255.1-255.1-255你说组合有多少呢？不比你的密码差吧？
反正他不会随便扰乱你的MAC

相同安全策略，但我实战中加上MAC过滤时，偶尔遇到这种MAC冲突带来的干扰，但取消过滤慢慢就好了。


些许补充：如果是使用MAC对指定MAC通过的话，若出现IP地址相撞的时候，用户就应该有所警惕，因为蹭网者（有可能会叫卖主过来，一般卖主都是具备相应的无线技术）会更改MAC地址或者搜索附近的无线网卡，克隆无线网卡的MAC地址来实行。若出现这种情况，用户要在未来的3个小时关闭无线功能（等卖主没耐性）或者加强破解难度，可以使用以上的3、4办法
Re:[傲娇棉花糖,33楼] 以下是引用 傲娇棉花糖 于2011-01-26 09:55:35 在33楼的发言： 

忽然想起自己还漏说了一点~~~！！！

TX功率缩小化
TX功率就是路由器无线信号的功率设置，在高级设置里面（可能不是所有路由都有？）
可设定值1-100，单位是%，默认都是100的，就是功率全开~~~！

我们要做的是从物理上缩小蹭网可能性（缩小信号覆盖范围）

于是在保证合法用户的网卡能稳定接收（满格+连接速率固定在最高）的前提下，尽可能调低TX功率。
信号都收不到，叫人怎么蹭网，就算收到、可破，不稳定的话那人也自觉放弃使用

例如我家设的就是35TX功率，如设置30我就刚好不能满速，而我的主机和路由距离只有5米左右（穿1墙）
自己想象吧。。。。。。



另外一提，除了MAC过滤、和连接密码。其他安全措施都不能阻隔别人登录你的路由控制台。即使对方受到限制不能上网，IP也是对不上的也好。只要路由IP和网关没错，登录控制台是可行的。
所以记住，路由器控制台的密码和账户不要用默认的，买回来的路由第一时间删除默认账户、用新账户新密码。而且要无比复杂，不然人家用密码字典流还是能破你。
要是控制台老被人轻松改，一切安全措施都是浮云了。

反正我以前玩过蹭网，被我改路由的真的不少。甚至被我逼到某路由换电信换网通再换宽带等（估计对方以为自己不可能被蹭，只是网络差）



作为一名曾经的蹭网者，绝对深知如何施展“绝对防御”！！！
Re:[ncd1101,46楼] 以下是引用 ncd1101 于2011-02-05 04:19:31 在46楼的发言： 呵呵！个人觉得如怕被蹭网，设置mac地址过滤适应性最广，什么关闭SSID广播、DHCP及设置WPA之类非wep密码往往不怎么现实！许多时候只适合纯用电脑连WIFI网的朋友。比如许多网络视频播放器（包括内外置WIFI）及带WIFI功能的MP4及其他非电脑类WIFI设备要么不支持上述三种防蹭网方式的全部或部分（尤其是最后一种）要么就是很难找到或稳定连接上，如今无论是在大陆还是其他国家地区，WIFI上网合法用户有时需要用到电脑以外设备（包括但不限于上述各类设备）通过WIFI联网的越来越多，如果为了防蹭网使得自己非电脑设备全部或部分无法有效使用自己的WIFI网络，岂非得不偿失？！