我们网络中心最近刚刚准备着手研究无线网络的建设,由于手头经费有限,就购置了一台TL-WR841N无线路由器和2个TL-WN821N 11N无线usb网卡来做测试。但是中心办公室还需要经常使用IPv6网络,管理和维护一些IPv6网络中的服务器,而这台无线路由器的三层功能是不支持IPv6的,于是就想利用无线路由器的二层功能,把路由器当做一台无线交换机使用,这样既可以接入IPv6网络又可以接入IPv4网络。
但是,接下来就产生了一系列的问题,首先,如何保证无线网络的安全问题,如果通过无线网络进入办公室网络的话,就可以控制很多重要的服务器。所以我们首先想到对无线网络进行加密,可以使用WEP、WPA/WPA2、WPA-PSK/WPA2-PSK等加密方式,但是经过测试之后发现,一旦对无线网络进行加密之后,主机无法正确获得IPv6全球单播地址也无法ping通IPv6网关。通过在dos命令下输入:netsh interface ipv6 show neighbor 查看到无线网卡对应的ipv6地址的物理地址无法显示,类型显示为不完整,如图1:
一开始,我也是在网上找了很多资料,但是真正有用的内容很少,并且很多人都提出使用无线路由器无法使用IPv6网络的问题,我都有点怀疑是否可以通过无线路由器的二层功能接入IPv6网络。最后,抱着试一试的想法,放弃无线加密,采用开放式的无线网络连接。结果,当采用开放式的无线网络时就能正确获得IPv6的地址了,这也许可以给想使用无线网络又同时连入IPv6的朋友一个小小启示吧。至于是什么原因造成的,我查了很多资料也没有得到答案,猜测是该路由器对IPv6的ICMPv6协议和邻居发现协议与无线加密协议不兼容造成的。但是不对无线网络进行加密是在是不安全,一旦被人通过无线网络连入中心局域网就能够控制中心内的所有服务器以及整个网络中的所有交换机。所以我们只有通过其他安全手段来解决这个问题。首先,我们将无线路由器的SSID号变更为单位内部人员才知道的XXXX,然后将SSID广播关闭,这样,在windows下进行搜索可用无线网络时,不会发现我们的无线网络。另外,为了做到更加保险,我们有启用了无线MAC地址过滤功能,禁止办公室的无线网卡mac地址以外的mac地址通过无线网络连入我们的局域网,如图2:
我们知道这样做并不是绝对的安全,黑客还可以通过一些手段来对付关闭SSID广播和MAC地址过滤,但是我们目前就是为了测试无线网络的安全,为以后在校内大规模布置无线网络做基础,所以,暂时只做了这2个安全策略。最主要的是,为了能在使用无线网络的同时,使用IPv6网络,我们只能暂时牺牲无线网络的安全,这也只是我们测试阶段的一个无奈的办法。希望我们在大规模建设无线网络的时候,能够有支持IPv6的无线设备广泛应用。像我们这样既使用无线网络又使用IPv6网络的用户可能不是很多,但是还是希望这个方法能够帮助一些有这方面疑问的用户。
本文转自 小王 51CTO博客,原文链接:http://blog.51cto.com/xiaowang/1161384,如需转载请自行联系原作者