韓頂軍

摘 要 路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對(duì)方的數(shù)據(jù)，并能夠高速的選擇信息傳送的線(xiàn)路，大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來(lái)。

關(guān)鍵詞 路由器 IP地址 尋徑 轉(zhuǎn)發(fā)

中圖分類(lèi)號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

隨著Internet的迅猛發(fā)展，人們已經(jīng)不滿(mǎn)足于僅在本地網(wǎng)絡(luò)上共享信息，而希望最大限度地利用全球各個(gè)地區(qū)、各種類(lèi)型的網(wǎng)絡(luò)資源，路由技術(shù)在網(wǎng)絡(luò)技術(shù)中已逐漸成為關(guān)鍵部分，路由器也隨之成為最重要的網(wǎng)絡(luò)設(shè)備。在目前的情況下，任何一個(gè)有一定規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)（如企業(yè)網(wǎng)、校園網(wǎng)、智能大廈等），無(wú)論采用的是快速以大網(wǎng)技術(shù)、FDDI技術(shù)、還是ATM技術(shù)，都離不開(kāi)路由器，否則就無(wú)法正常運(yùn)作和管理。

1 路由器的工作原理

網(wǎng)絡(luò)中的設(shè)備用它們的網(wǎng)絡(luò)地址（TCP/IP網(wǎng)絡(luò)中為IP地址）互相通信。IP地址是與硬件地址無(wú)關(guān)的“邏輯”地址。路由器只根據(jù)IP地址來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址的結(jié)構(gòu)有兩部分，一部分定義網(wǎng)絡(luò)號(hào)，另一部分定義網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)。目前，在Internet網(wǎng)絡(luò)中采用子網(wǎng)掩碼來(lái)確定IP地址中網(wǎng)絡(luò)地址和主機(jī)地址。子網(wǎng)掩碼與IP地址一樣也是32bit，并且兩者是一一對(duì)應(yīng)的。同一個(gè)網(wǎng)絡(luò)中的主機(jī)IP地址，其網(wǎng)絡(luò)號(hào)必須是相同的，這個(gè)網(wǎng)絡(luò)稱(chēng)為IP子網(wǎng)。通信只能在具有相同網(wǎng)絡(luò)號(hào)的IP地址之間進(jìn)行，要與其它IP子網(wǎng)的主機(jī)進(jìn)行通信，則必須經(jīng)過(guò)同一網(wǎng)絡(luò)上的某個(gè)路由器或網(wǎng)關(guān)（gateway）出去。

2 路由器的主要功能

路由動(dòng)作包括兩項(xiàng)基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓?，并由路由器根?jù)量度來(lái)決定最佳路徑。轉(zhuǎn)發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發(fā)送到下一個(gè)站點(diǎn)（路由器或主機(jī)），如果路由器不知道如何發(fā)送分組，通常將該分組丟棄；否則就根據(jù)路由表的相應(yīng)表項(xiàng)將分組發(fā)送到下一個(gè)站點(diǎn)，如果目的網(wǎng)絡(luò)直接與路由器相連，路由器就把分組直接送到相應(yīng)的端口上。這就是路由轉(zhuǎn)發(fā)協(xié)議（routed protocol）。

3 路由選擇協(xié)議

典型的路由選擇方式有兩種：靜態(tài)路由和動(dòng)態(tài)路由。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡(jiǎn)單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。各種動(dòng)態(tài)路由協(xié)議會(huì)不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。靜態(tài)路由和動(dòng)態(tài)路由有各自的特點(diǎn)和適用范圍，因此在網(wǎng)絡(luò)中動(dòng)態(tài)路由通常作為靜態(tài)路由的補(bǔ)充。當(dāng)一個(gè)分組在路由器中進(jìn)行尋徑時(shí)，路由器首先查找靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)分組；否則再查找動(dòng)態(tài)路由。

4 路由算法

路由算法按照種類(lèi)可分為以下幾種：靜態(tài)和動(dòng)態(tài)、單路和多路、平等和分級(jí)、源路由和透明路由、域內(nèi)和域間、鏈路狀態(tài)和距離向量。鏈路狀態(tài)算法（也稱(chēng)最短路徑算法）發(fā)送路由信息到互聯(lián)網(wǎng)上所有的結(jié)點(diǎn)，然而對(duì)于每個(gè)路由器，僅發(fā)送它的路由表中描述了其自身鏈路狀態(tài)的那一部分。距離向量算法（也稱(chēng)為Bellman-Ford算法）則要求每個(gè)路由器發(fā)送其路由表全部或部分信息，但僅發(fā)送到鄰近結(jié)點(diǎn)上。從本質(zhì)上來(lái)說(shuō)，鏈路狀態(tài)算法將少量更新信息發(fā)送至網(wǎng)絡(luò)各處，而距離向量算法發(fā)送大量更新信息至鄰接路由器。由于鏈路狀態(tài)算法收斂更快，因此它在一定程度上比距離向量算法更不易產(chǎn)生路由循環(huán)。

5 路由器安全維護(hù)

利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會(huì)浪費(fèi)CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來(lái)保護(hù)路由器的安全。

（1）避免口令泄露危機(jī)。據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC（計(jì)算機(jī)應(yīng)急反應(yīng)小組/控制中心）稱(chēng)，80%的安全突破事件是由薄弱的口令引起的。

（2）關(guān)閉IP直接廣播。使用no ip source-route關(guān)閉IP直接廣播地址。

（3）禁用不必要的服務(wù)。強(qiáng)調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)。

（4）限制邏輯訪(fǎng)問(wèn)。限制邏輯訪(fǎng)問(wèn)主要借助于合理處置訪(fǎng)問(wèn)控制列表，限制遠(yuǎn)程終端會(huì)話(huà)有助于防止黑客獲得系統(tǒng)邏輯訪(fǎng)問(wèn)。

（5）封鎖ICMP ping請(qǐng)求。控制消息協(xié)議（ICMP）有助于排除故障，識(shí)別正在使用的主機(jī)，這樣為攻擊者提供了用來(lái)瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時(shí)間戳和網(wǎng)絡(luò)掩碼以及對(duì)OS修正版本作出推測(cè)的信息。

（6）關(guān)閉IP源路由。IP協(xié)議允許一臺(tái)主機(jī)指定數(shù)據(jù)包通過(guò)你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。

（7）監(jiān)控配置更改。用戶(hù)在對(duì)路由器配置進(jìn)行改動(dòng)之后，需要對(duì)其進(jìn)行監(jiān)控。如果用戶(hù)使用SNMP，那么一定要選擇功能強(qiáng)大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過(guò)SNMP管理對(duì)設(shè)備進(jìn)行遠(yuǎn)程配置，用戶(hù)最好將SNMP設(shè)備配置成只讀。此外，用戶(hù)還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。

總之，路由器在網(wǎng)絡(luò)中起著舉足輕重的作用，它工作在網(wǎng)絡(luò)層，可以確定網(wǎng)絡(luò)上各個(gè)數(shù)據(jù)包的目的地址，并將數(shù)據(jù)包發(fā)往通向目的地的最短路徑上，同時(shí)路由器還可以過(guò)濾數(shù)據(jù)包。