D-Link 企业级宽带路由器端口映射与IP-MAC 绑定解决方案.doc

D-Link 企业级宽带路由器端口映射和IP-MAC 绑定解决方案 【背景描述】现在的许多企业在内部网络中都使用私有IP 地址，通过一个公网IP 来上Internet。在这种情况下，端口映射功能对中小型企业是非常实用的，它可以把用户私网内的服务器让Internet 上的用户进行访问，从而实现在私网内设立公共服务器的目的。 端口映射在D-Link SOHO 路由器中称作虚拟服务器。 【实验拓扑】 远程用户 Web: FTP: 【实验设备】ADSL 接入线1 条，D-Link 宽带路由器1 台，测试PC 2 台，网线若干条。 【实验步骤】 首先将路由器接入到Internet,配置过程请参考前面的配置文档：路 由器接入到ISP 方案。然后进入到高级配置----地址映射配置 为了配置的简单，我们将Web 和FTP 服务器都放在了同一个PC 上。这次Web 服务器使用的端口为8080，FTP 服务器使用的端口为21.接下来在PC 上开启WEB 服务器和FTP 服务器软件。 外网用户在IE 浏览器中输入以下网址：8/ ，出现下图的的内容。注：外网用户输入的是路由器WAN 接口的IP 地址8 ，而不是路由器LAN 接口的IP 地址。以上就完成了在路由器上进行端口映射功能的配置。 【知识扩展】前面我们在交换机的IP-MAC 和端口绑定实验中知道，IP-MAC 绑定可以很好的防止在网络中出现的ARP 攻击情况，还可以从根本上杜绝了内网人员擅自修改自己的IP 和MAC 地址从而获取到某些上网权力的问题。IP-MAC 绑定在企业级宽带路由器上也是支持的，下面我们来看一下在路由器上的IP-MAC 绑定配置。【实验拓扑】 DI-604LB+宽带路由器 IP:00 IP:00MAC:0016D3B87008 MAC:00023FB5750F 进入高级配置----ARP 绑定配置然后将00 的IP 地址修改为01，观察是否还能接入到网络中。 这样设置就可以允许此计算机修改IP 地址上网了。【注意事项】在配置完ARP 访问控制列表的时候，一定要启用ARP 访问控制列表的功能，否则是不起任何作用的。