我們網絡中心最近剛剛準備着手研究無線網絡的建設,由于手頭經費有限,就購置了一台TL-WR841N無線路由器和2個TL-WN821N 11N無線usb網卡來做測試。但是中心辦公室還需要經常使用IPv6網絡,管理和維護一些IPv6網絡中的伺服器,而這台無線路由器的三層功能是不支援IPv6的,于是就想利用無線路由器的二層功能,把路由器當做一台無線交換機使用,這樣既可以接入IPv6網絡又可以接入IPv4網絡。
但是,接下來就産生了一系列的問題,首先,如何保證無線網絡的安全問題,如果通過無線網絡進入辦公室網絡的話,就可以控制很多重要的伺服器。是以我們首先想到對無線網絡進行加密,可以使用WEP、WPA/WPA2、WPA-PSK/WPA2-PSK等加密方式,但是經過測試之後發現,一旦對無線網絡進行加密之後,主機無法正确獲得IPv6全球單點傳播位址也無法ping通IPv6網關。通過在dos指令下輸入:netsh interface ipv6 show neighbor 檢視到無線網卡對應的ipv6位址的實體位址無法顯示,類型顯示為不完整,如圖1:
一開始,我也是在網上找了很多資料,但是真正有用的内容很少,并且很多人都提出使用無線路由器無法使用IPv6網絡的問題,我都有點懷疑是否可以通過無線路由器的二層功能接入IPv6網絡。最後,抱着試一試的想法,放棄無線加密,采用開放式的無線網絡連接配接。結果,當采用開放式的無線網絡時就能正确獲得IPv6的位址了,這也許可以給想使用無線網絡又同時連入IPv6的朋友一個小小啟示吧。至于是什麼原因造成的,我查了很多資料也沒有得到答案,猜測是該路由器對IPv6的ICMPv6協定和鄰居發現協定與無線加密協定不相容造成的。但是不對無線網絡進行加密是在是不安全,一旦被人通過無線網絡連入中心區域網路就能夠控制中心内的所有伺服器以及整個網絡中的所有交換機。是以我們隻有通過其他安全手段來解決這個問題。首先,我們将無線路由器的SSID号變更為機關内部人員才知道的XXXX,然後将SSID廣播關閉,這樣,在windows下進行搜尋可用無線網絡時,不會發現我們的無線網絡。另外,為了做到更加保險,我們有啟用了無線MAC位址過濾功能,禁止辦公室的無線網卡mac位址以外的mac位址通過無線網絡連入我們的區域網路,如圖2:
我們知道這樣做并不是絕對的安全,黑客還可以通過一些手段來對付關閉SSID廣播和MAC位址過濾,但是我們目前就是為了測試無線網絡的安全,為以後在校内大規模布置無線網絡做基礎,是以,暫時隻做了這2個安全政策。最主要的是,為了能在使用無線網絡的同時,使用IPv6網絡,我們隻能暫時犧牲無線網絡的安全,這也隻是我們測試階段的一個無奈的辦法。希望我們在大規模建設無線網絡的時候,能夠有支援IPv6的無線裝置廣泛應用。像我們這樣既使用無線網絡又使用IPv6網絡的使用者可能不是很多,但是還是希望這個方法能夠幫助一些有這方面疑問的使用者。
本文轉自 小王 51CTO部落格,原文連結:http://blog.51cto.com/xiaowang/1161384,如需轉載請自行聯系原作者