比起3Com和SMC基本的設定畫面,DrayTek無線寬頻分享器的提供了一堆的“業餘級”路由器與防火牆功能,還內建了LPR列印伺服器,可以把USB印表機變成一部無線網路印表機,價格卻與一般的無線分享器差不多,可說是物超所值,唯一缺點是無線網路的信號強度、穩定度與安全性比不上3Com等網路大廠。
DrayTek除了分享器基本的PPPoE、DHCP、WEP、MAC Access Control,還支援了專業級路由器的Dynamic DNS (支援非固定制ADSL架站)、NAT、RADIUS、Static Route靜態路由、IP過濾器 (禁止連上某些網站)、Content過濾器 (禁止瀏覽某些網頁)、Firewall、VPN虛擬私人網路 (支援PPTP, IPSec, L2TP, L2TP over IPSec) 、UPNP、VLAN (Virtual LAN虛擬區域網路) 等一堆讓網路新手頭大的專業功能,可說是業餘的無線網路路由器!
用網路線連接到分享器的LAN埠,然後輸入http://192.168.1.1/ 以及預設的帳號和密碼,就會看到這樣的功能選單畫面:
在“NAT Setup”選項還提供了給架站主機專用的DMZ Host Setup以及Open Ports Setup,可設定對外只開放哪些網路埠號碼,其他不使用的port則是全部封鎖!不過單向防火牆只能封鎖外部對內的port,無法封鎖內部電腦對外的port,可能會被駭客或病毒把你的電腦當成人頭戶去攻擊其他電腦。
我的BNW、insoler網站只開放了幾個標準的網路服務port,例如:HTTP使用的80 TCP、POP3的110 TCP、SMTP的25 TCP、VNC的5900 TCP等。
NAT是Network Address Translation網路位址轉譯的縮寫,凡是支援DHCP以及192.168.x.x位址的路由器一定有內建的NAT功能。NAT會把外部的IP位址轉成內部網路使用的IP位址,可說是一道天然的防火牆,能防止新手級駭客入侵到你的電腦。
在Firewall Setup提供了許多DoS defense防禦功能。DoS是Denial of Service阻絕服務攻擊的縮寫,利用簡單的駭客工具讓一個網站過於忙碌而無法提供正常的服務。
到底什麼是“路由器”呢? 其實“路由器”就像一般公司企業常用的“電話交換機”, 舉個例子來說,當你打電話給蘋果台灣的行銷部張小姐,在聽到公司總機的語音之後,你可以直接按9轉接總機人員,或是直撥張小姐的分機號碼1004,如果張小姐不在座位上,你可以選擇留言或是轉接其他分機,那個幫你轉接電話的設備就是“交換機”。
當然啦,如果蘋果電腦公司有5389位員工,每位同事都有一條直撥專線,例如2799-1004,也許就不需要買交換機了,但實際上公司對外的電話門號有限,不可能每個人都有一條市話專線,於是就需要一部“交換機”系統來處理公司外部與內部的電話。
因此“分享器”的工作就像“交換機”,可以讓內部的所有電腦都能共用一條外部的ADSL網路線,一部“寬頻路由器”可以讓253部電腦同時上網 (其中包括10-128部無線網路電腦)。透過多部“寬頻路由器”或是專業級的“路由器”,就可以讓超過1000部以上的電腦同時上網。除此之外,硬體的路由器設備也可以兼具防火牆、防毒、列印伺服器等功能,提供更多的服務與保護:
建立Intranet內部網路:公司或家裡有多部電腦,你可以用一部或多部“無線網路路由器”把電腦連接成一個網路系統,一般的寬頻分享器只提供4個LAN網路埠,如果不夠使用,只要加裝5/8/16/24/48 埠的Switch Hub集線器就行了。
提供NAT網路位址轉譯服務:也許公司對外只有一個ADSL的公用IP位址,但是透過NAT的“交換機”服務,就可以把一個外部的220.130.180.10位址轉成最多253部192.168.10.x的“分電腦”位址。
支援網路印表機:當你建立內部網路好之後,雖然可以把連接在其中一部電腦上的USB噴墨印表機共享出來給其他電腦使用,不過這種網路上的“共享印表機”並不是真正的“網路印表機”,因為只要該電腦關機大家就無法列印文件了。真正的網路印表機是不需要依附在任何電腦上,除了加裝印表機原廠提供的“列印伺服器”,也可以使用寬頻路由器提供的列印伺服器,讓網路上的任何一部電腦都能使用這部USB印表機。通常寬頻分享器只支援一部USB印表機,請勿使用USB Hub擴充為多部USB印表機。
內建防火牆與網站過濾功能。防火牆可用來阻擋或過濾來自網際網路的攻擊或入侵,但是不能用來防毒。網站過濾器可以保護未成年兒童連上未經許可的網站,也可以用來管理哪些電腦在哪些時段可以上網。
什麼是“集線器”呢? 功能有點像是“電源延長線”,集線器可以把一條網路線擴充成4-5個、8個、16個、24個、48個或更多的網路埠,由於每張網路卡都有唯一的MAC識別號碼,所以把網路線通通並在一起 (實際上不會真的把線路接在一起),不會有無法識別哪一部電腦的問題。
每一台無線寬頻分享器的出廠值都是設在“All Wireless PCs can connect to the Gateway”所有的無線電腦都能連接到路由器之類的選項,而且安全性功能預設是關閉的,以便任何一部電腦都能透過無線網卡連線到這台寬頻分享器,不需要設定就能直接上網,但這樣一來…
任何人都能透過你的網路免費無線上網、還附贈幾項免費服務,比如免費到你的網路上閒逛、免費使用你共享的檔案夾、免費入侵你的電腦,甚至在植入木馬程式後把你的電腦當成散佈垃圾廣告信、攻擊其他網站等非法工具!因此“無線寬頻分享器”買回來之後,請記住一定要設好之後再用,無論你要想開啟哪一種安全性防護WPA、WEP或MAC密碼鎖均可。
無線網路分享器最常使用的安全鎖就是WEP (無線對應隱私權) 與 WPA (Wi-Fi保護存取) 兩種加密機制,你只能使用其中一種安全鎖,而且AirPort使用的鑰匙也必須配合安全鎖加密方式,才能正確解開被加密的網路資料封包。雖然所有的無線分享器都支援WEP,不過已經能在地下網站找到破解WEP金鑰加密的工具,使得WEP安全性不如最新的WPA加密技術。
要提醒你的是,MAC並不是一種最新的加密機制,更沒有任何的加密保護功能!只是利用每張網路卡都有的一組獨一無二MAC位址,在無線分享器的安全連線名單上核准哪些MAC位址的網路卡可以連上無線網路,如此而已。對一般住家或中小企業來說,即使網路封包沒有經過加密保護,就算無線信號被駭客盜錄,要解析大量的封包資料可不是件簡單的事!
網頁上的文字、圖片、動畫、音樂等… 當這些資料轉成TCP/IP封包之後,並不是一般人能看得懂的,更何況你除了瀏覽網頁、收信,也可能會下載檔案、播放網路電影預告片、試聽MP3歌曲等,即使有Sniffer這類的封包過濾與分析工具,駭客還是得花很多時間才可能在成千上萬的封包中找到重要的資料。
在一個192.168.10.x的網段內只能有一個DHCP Server,但有時候會因為許多網路設備都提供DHCP,導致各網路設備的DHCP互相打架,造成用戶端電腦取得錯誤的IP位址,這種情況最容易出現在買了多部“無線寬頻分享器”的網路環境!因為無線訊號容易受到干擾,在一個空間內可能要買2部以上的無線分享器或無線基地台。
網友最常問的問題就是“不能無線上網”例如:我家有一台PC和兩台NB (筆記型電腦的簡稱),三台電腦都是使用無線IP分享器而且都能無線上網。當我使用iBook G4的時候,AirPort可以找得到我家無線基地台名稱,但是我輸入了連線密碼之後,AirPort卻說登入無線網路時發生錯誤,請問這是什麼問題呢? 為什麼Windows都能連線,反而Mac不行呢?
雖然“不能上網”只是一個簡單的問題,但是追查起來並沒有你想像中那麼簡單,比方說沒有把iBook網路卡的MAC加入無線分享器的安全名單,就算其他設定通通正確iBook還是無法上網!也有可能是WEP或WAP設定錯誤、使用非Apple原廠的USB的無線網路卡卻插在外接的USB Hub集線器、無線Channel受到干擾等。我沒辦法在書上猜測所有的問題,如果問題無法解決的話,請到我的insoler討論區來發問。