尹魁衡陽財經(jīng)工業(yè)學(xué)院

網(wǎng)絡(luò)中路由器的應(yīng)用與配置

尹魁
衡陽財經(jīng)工業(yè)學(xué)院

路由器屬于某種網(wǎng)絡(luò)設(shè)備，其主要的作用是將不同的網(wǎng)絡(luò)以及網(wǎng)段進(jìn)行連接并使得他們彼此間能夠讀懂彼此的數(shù)據(jù)，并高速的選擇信息傳送的線路，提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。

路由器 IP地址 尋徑轉(zhuǎn)發(fā)

隨著Internet的迅猛發(fā)展，路由器已經(jīng)發(fā)展成為非常重要的網(wǎng)絡(luò)設(shè)備?，F(xiàn)如今，路由器無處不在，只要計算機網(wǎng)絡(luò)存在一定規(guī)模，就一定需要路由器來維持其正常運作，并對其進(jìn)行管理。

1 路由器的工作原理

網(wǎng)絡(luò)設(shè)備之間一般是通過IP地址即網(wǎng)絡(luò)地址進(jìn)行通信，而路由器只是經(jīng)由IP地址來進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)。IP子網(wǎng)是指在同一網(wǎng)絡(luò)中的其網(wǎng)絡(luò)信號是一樣的，且通信只能在同一個IP地址進(jìn)行，如果想要與其他IP子網(wǎng)通信，則必須經(jīng)由路由器。因為不同網(wǎng)絡(luò)的IP地址之間是不能進(jìn)行通信的，而路由器起到了橋梁的作用，將自己的多個端口與不同的IP子網(wǎng)進(jìn)行連接，從而達(dá)到通信的目的。

2 路由器的功能

路由器主要有兩種功能即尋徑與轉(zhuǎn)發(fā)。尋徑顧名思義就是尋找到最佳的途徑，然后經(jīng)由路由器選擇算法來實現(xiàn)。為了獲得最佳路徑，路由器選擇算法將從各處收集到的信息輸入路由器表中，從而詳細(xì)了解下一站與目的網(wǎng)絡(luò)之間的關(guān)系。各個路由器之間通過信息的互通，并使得路由獲得更新，并根據(jù)度量尋找到最佳的最佳路徑。路由器一旦不知道如何發(fā)送分組，它將放棄該分組，要么就根據(jù)路由表發(fā)送到下一個站點。

3 路由選擇協(xié)議

在對路由器進(jìn)行選擇時，可以采用兩種方式進(jìn)行。一種是靜態(tài)路由，是指在路由器中設(shè)置固定的路由表；還有一種是動態(tài)路由，是指網(wǎng)絡(luò)中的路由器之間相互通信，進(jìn)行信息的傳遞與與接收，能夠及時反映網(wǎng)絡(luò)結(jié)構(gòu)的變化。靜態(tài)路由一般不會發(fā)生變化，其最大的優(yōu)點就是簡單、可靠以及效率高。此外，靜態(tài)路由是所有的路由中擁有最高的優(yōu)先級。當(dāng)靜態(tài)與動態(tài)路由發(fā)生任何沖突時，一定要以靜態(tài)路由為準(zhǔn)。不管是靜態(tài)路由還是動態(tài)路由，它們都有其各自的特點，動態(tài)路由通常是作為靜態(tài)路由的補充。

4 路由算法

按種類分，路由算法可以分為靜態(tài)與動態(tài)、平等與分級、源路由與透明路由以及單路和多路，還包括域內(nèi)與域間、鏈路狀態(tài)與距離向量。其中最短的路徑算法要算鏈路狀態(tài)算法，它是將路由信息發(fā)送到互聯(lián)網(wǎng)所有的結(jié)點上，每個路由器只發(fā)送有關(guān)其自身鏈路狀態(tài)信息。而距離向量算法則要求每個路由器發(fā)送全部信息或者部分信息，但是只是發(fā)送到附近的結(jié)點上。

因此，鏈路狀態(tài)算法其實是將非常少的信息發(fā)送到網(wǎng)絡(luò)的各處，而距離向量算法則是將大量的信息發(fā)送到臨近路由器。相對距離向量算法，鏈路狀態(tài)算法收斂更快，因此不容易出現(xiàn)路由循環(huán)的情況。

總之，鏈路狀態(tài)算法比距離向量算法擁有更強的CPU能力以及更大的存儲空間，因此也更貴一下。但是多數(shù)時候，它們都能正常運行。

5 路由器安全維護(hù)

利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會浪費CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來保護(hù)路由器的安全。

5.1 避免口令泄露危機

據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC（計算機應(yīng)急反應(yīng)小組，控制中心1稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令、選用30到6O天的口令有效期等措施有助于防止這類漏洞。

5.2 關(guān)閉IP直接廣播

Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應(yīng)。這種情況會降低網(wǎng)絡(luò)性能。使用NO ip source—route關(guān)閉IP直接廣播地址。

5.3 禁用不必要的服務(wù)

強調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)，例如SNMP和DHCP這些用戶很少用到的服務(wù)，都可以禁用，只有絕對必要的時候才使用。另外，可能時關(guān)閉路由器的HTTP設(shè)置，因為HTTP使用的身份識別協(xié)議相當(dāng)于向整個網(wǎng)絡(luò)發(fā)送一個未加密的口令。然而，HTTP協(xié)議中沒有一個用于驗證口令或者一次性口令的有效規(guī)定。

5.4 限制邏輯訪問

限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠(yuǎn)程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法，但如果無法避免Tel—net，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

5.5 封鎖ICMP ping請求

控制消息協(xié)議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時間戳和網(wǎng)絡(luò)掩碼以及對OS修正版本作出推測的信息。因此通過取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力，就能更容易的避開那些元人注意的掃描活動或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”（script kiddies）。

5.6 關(guān)閉IP源路由

IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法應(yīng)用是診斷連接故障。但是，這種用途很少得到應(yīng)用，事實上，它最常見的用途是為了偵察目的對網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在專用網(wǎng)絡(luò)中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

5.7 監(jiān)控配置更改

用戶在對路由器配置進(jìn)行改動之后，需要對其進(jìn)行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設(shè)備進(jìn)行遠(yuǎn)程配置，用戶最好將SNMP設(shè)備配置成只讀。拒絕對這些設(shè)備進(jìn)行寫訪問，用戶就能防止黑客改動或關(guān)閉接口。此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。

總之，路由器在網(wǎng)絡(luò)中起著舉足輕重的作用，它工作在網(wǎng)絡(luò)層，可以確定網(wǎng)絡(luò)上各個數(shù)據(jù)包的目的地址，并將數(shù)據(jù)包發(fā)往通向目的地的最短路徑上，同時路由器還可以過濾數(shù)據(jù)包。

［1］尚曉航等.Internet技術(shù)與應(yīng)用.中國鐵道出版社.2007年

［2］IT動力源路由器配置與測.