巧用TP-LINK無線路由器連線IPv6網路

我們網路中心最近剛剛準備著手研究無線網路的建設，由於手頭經費有限，就購置了一臺TL-WR841N無線路由器和2個TL-WN821N 11N無線usb網路卡來做測試。但是中心辦公室還需要經常使用IPv6網路，管理和維護一些IPv6網路中的伺服器，而這臺無線路由器的三層功能是不支援IPv6的，於是就想利用無線路由器的二層功能，把路由器當做一臺無線交換機使用，這樣既可以接入IPv6網路又可以接入IPv4網路。

但是，接下來就產生了一系列的問題，首先，如何保證無線網路的安全問題，如果通過無線網路進入辦公室網路的話，就可以控制很多重要的伺服器。所以我們首先想到對無線網路進行加密，可以使用WEP、WPA/WPA2、WPA-PSK/WPA2-PSK等加密方式，但是經過測試之後發現，一旦對無線網路進行加密之後，主機無法正確獲得IPv6全球單播地址也無法ping通IPv6閘道器。通過在dos命令下輸入：netsh interface ipv6 show neighbor 檢視到無線網路卡對應的ipv6地址的實體地址無法顯示，型別顯示為不完整，如圖1：

一開始，我也是在網上找了很多資料，但是真正有用的內容很少，並且很多人都提出使用無線路由器無法使用IPv6網路的問題，我都有點懷疑是否可以通過無線路由器的二層功能接入IPv6網路。最後，抱著試一試的想法，放棄無線加密，採用開放式的無線網路連線。結果，當採用開放式的無線網路時就能正確獲得IPv6的地址了，這也許可以給想使用無線網路又同時連入IPv6的朋友一個小小啟示吧。至於是什麼原因造成的，我查了很多資料也沒有得到答案，猜測是該路由器對IPv6的ICMPv6協議和鄰居發現協議與無線加密協議不相容造成的。但是不對無線網路進行加密是在是不安全，一旦被人通過無線網路連入中心區域網就能夠控制中心內的所有伺服器以及整個網路中的所有交換機。所以我們只有通過其他安全手段來解決這個問題。首先，我們將無線路由器的SSID號變更為單位內部人員才知道的XXXX，然後將SSID廣播關閉，這樣，在windows下進行搜尋可用無線網路時，不會發現我們的無線網路。另外，為了做到更加保險，我們有啟用了無線MAC地址過濾功能，禁止辦公室的無線網路卡mac地址以外的mac地址通過無線網路連入我們的區域網，如圖2：

我們知道這樣做並不是絕對的安全，黑客還可以通過一些手段來對付關閉SSID廣播和MAC地址過濾，但是我們目前就是為了測試無線網路的安全，為以後在校內大規模佈置無線網路做基礎，所以，暫時只做了這2個安全策略。最主要的是，為了能在使用無線網路的同時，使用IPv6網路，我們只能暫時犧牲無線網路的安全，這也只是我們測試階段的一個無奈的辦法。希望我們在大規模建設無線網路的時候，能夠有支援IPv6的無線裝置廣泛應用。像我們這樣既使用無線網路又使用IPv6網路的使用者可能不是很多，但是還是希望這個方法能夠幫助一些有這方面疑問的使用者。

本文轉自 小王 51CTO部落格，原文連結：http://blog.51cto.com/xiaowang/1161384，如需轉載請自行聯絡原作者