192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

TP-LINK无线路由器配置SPI、VPN、ALG的方法图解

发布时间:2012-11-16 15:22

在国内,TP-LINK和D-LINK是市场上最受用户喜爱的国产路由器品牌。今天就基于前者该大家讲解一下配置SPI、VPN、ALG的方法,并附上图解教程。此外,这些东西只是针对喜欢钻研的玩家,对普通用户建议不要去设置,否则可能遇到一些无法理解的网络症状,当然,这些都可以通过复位(reset)来恢复出厂设置。

用户可以在TP-LINK无线路由器的安全设置中开启SPI防火墙、VPN穿透和ALG应用层网关,配置非常的简单,不过我想大多数人更对这些功能的原理有兴趣,下面就个人的理解来详细解释一下,事先声明,下边所说纯属一家之言,难免出现错误,朋友们要辩证的看待才是。

SPI防火墙

在防火墙设置-安全设置中来开启或者关闭SPI、VPN、ALG的功能,先来说说SPI:

 

 
  • 基于状态包检测(SPI)的防火墙的可以通过检测数据包的目的地址、源地址、端口、协议等信息来判断是否允许数据包通过。 http://www.luyouqiwang.com/tujie/14872/ 
  • SPI的特点在于拒绝一切外部网络主动发起的连接,只有从内网主动发起的连接以及回复连接才能通过。
  • 相对于传统包过滤技术,SPI的过滤规则并非人为设定而是动态生成,因此更加的安全。
  • 说到这里,有人可能就有疑问了,NAT技术不也是不接受外部网络主动发起的连接吗?个人认为NAT技术是通过地址转换来实现这个特性的,而SPI则没有限制。

VPN穿透

无线路由器的VPN穿透技术虽然用的地方不多,不过对它有兴趣的人还着实不少,默认情况下TP-LINK无线路由器是开启VPN穿透的:

  • 首先说明一点的是,VPN穿透是对于内网客户端连接外部网络VPN服务器而言的。
  • 要解释VPN穿透,就得先来说说NAT技术了,现在的无线路由器所利用的NAT都是端口地址转换,就是只有一个公网IP然后将内网发送的数据包改变一下包头的源IP和源端口发送出去,然后将回复数据的目的IP和目的端口再转换为内网IP和端口。
  • 再来说说VPN的一些封包特点,以IPSEC VPN为例,无论是传输模式还是隧道模式,在最外层的IP头后边都会加一个特殊的头信息(AH头或者ESP头),这个特殊的头信息会存储一些安全信息,比如有效载荷(就是数据部分)的校验值等,目的就是防止数据包在传输的过程中被篡改,当VPN服务器接收到数据的时候,会重新校验数据包,一旦校验信息和存储在头信息中的不一致,就会导致VPN建立失败。
  • 好了,NAT和VPN都说完了,大家结合起来想一想,如果无线路由器更改了内网发送的VPN数据包的源端口,势必造成VPN服务器的第二次校验和AH头或者ESP头中的值不同,VPN建立铁定是无法成功的,所以,用VPN的朋友一定要开启穿透功能。

ALG应用层网关

ALG翻译过来就是应用层网关,默认在无线路由器中也是开启的:

  • ALG主要应用在那些采用“控制/数据”模式的应用中。
  • 以大家颇为熟悉的FTP为例来进行说明,大家都知道FTP有两种传输模式(关于这两种模式的详细解释大家可以瞄一下图解FTP的主动模式与被动模式以及客户端设置这篇文章),无论哪种模式,第一步都需要客户端连接到FTP服务器的21端口来协商,如果协商结果是主动模式,FTP服务器会用TCP20端口来连接客户端的某一端口;如果是被动模式,客户端会用协商好的端口来连接FTP服务器的特定端口。
  • 如果不开启ALG,则在主动模式下FTP服务器是无法正常与客户端建立连接的,反之开启了ALG,无线路由器会根据协商的结果动态的开启相应端口保证连接成功建立,应用完毕之后,无线路由器会自动删除该连接。

好了,一家之言说完了,希望能给一些对这些功能存有疑惑的朋友们一些小小的启发。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明