路由器在企業局域網中的應用

[摘要] 路由器是局域網中非常重要的網絡設備。本文首先介紹了路由器在局域網中的主要幾個應用方面，然后介紹了路由器的安全策略，最后介紹了路由器的幾種網絡管理功能。

[關鍵詞] 路由器 局域網 應用

隨著信息技術的發展，世界經濟正在走向信息化、全球化和市場化。各個企業為了在競爭中取得成功，正在不斷地利用現代網絡技術和先進的網絡設備，構建企業管理辦公系統和電子商務網站，實現企業高效率的運作，實踐現代經營理念和經營策略。在這樣的大背景之下，建設企業的局域網便成為了現代企業的一項迫切的任務。

在企業局域網中，路由器是最常見的也是非常重要的設備。本文重點介紹路由器在局域網中的應用。

一、路由器用于分隔子網

在企業局域網內部，路由器的主要作用之一是分隔子網，同時隔離子網之間的廣播。早期的企業局域網中，所有主機處于同一邏輯網絡中。隨著企業網絡規模的不斷擴大，局域網演變成以高速主干和路由器聯接的多個子網所組成的園區網，也就是說這樣的局域網已經是立體層次結構了。這若干個子網在邏輯上獨立，而路由器就是惟一能夠分隔它們的設備。

路由器負責子網間的報文轉發，根據路由協議算法產生多條路由，而且能為不同的網絡應用選擇各自不同的最佳路由。

路由器還負責子網間的廣播隔離。路由器每一端口聯接一個子網，不同的端口屬于不同的廣播域，某一個端口的廣播報文不能經過路由器廣播出去擴散到整個企業局域網。這樣既做到了信息保密，也能隔離某些病毒發起的廣播攻擊。

在實際應用中，我們可以將路由器的不同端口用于聯接不同的企業部門（即同一部門的設備全部連接在路由器的同一端口下）。

二、路由器用于VLAN間的通信

為了更好地管理局域網，可以在局域網中劃分VLAN。VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”，是將局域網設備從邏輯上劃分（不是從物理上劃分）成一個個網段，從而實現虛擬工作組的新興數據交換技術。如果沒有路由的話，不同VLAN之間是不能相互通信的，這樣增加了企業局域網的安全性。如果需要在不同VLAN間通信，可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。

三、路由器作為局域網出口

路由器可以作為企業局域網聯入廣域網的接口。目前的企業可以選擇多廣域網（WAN）端口路由器，這樣的路由器允許局域網共享多條外線。它的好處有：

1.增加局域網出口帶寬。用戶可以多申請幾條寬帶線路，負載在這些端口之間均衡，就相當于出口帶寬擴展了幾倍。由于每條寬帶線路的費用不高，對于較大的局域網也是很經濟的。

2.線路備份。可以在不同的WAN口上選擇不同的ISP（Internet Service Provider）。如果某個ISP、某條線路出現故障時，可以把數據流量重新分配到沒有故障的端口上，整個網絡還能正常運行。

3.享受更多的內容服務。不同的ISP提供不同的服務，例如游戲、視頻點播等。多個WAN口聯接多個ISP，就可以享受這些服務。

多WAN口對路由器的硬件要求比較高，軟件就更是復雜。但是對于現在那些信息化程度較高的企業局域網及電子商務網站來說，網絡業務必須是非常可靠，須臾都不能離開的。所以多WAN口路由器是有它的優勢的。

四、路由器的安全防御功能

局域網出口路由器一般處在防火墻的外部，負責聯入廣域網。此時路由器自身的安全防御就顯得非常重要，否則就可能被攻擊者利用進而威脅到局域網。所以一定要對路由器進行合理的配置，使路由器成為局域網抵御外部攻擊的第一條防線。

1.防止外部IP地址欺騙。外部網絡的非法用戶可以將自己的IP地址改成內部網絡的合法IP地址或回環地址，從而獲得對局域網的非法訪問權限。所以要禁止源地址為私有地址、回環地址、多目的地址，以及沒有列出源地址的所有數據流。

2.防止外部非法探測。非法訪問者在對內部網絡發起攻擊之前，常常使用ping命令或其他命令探測網絡，所以要禁止從外部使用這些命令。一般情況下是阻止答復的輸出，而不阻止探測的進入。

3.保護路由器不受攻擊。路由器可以通過Telnet或SNMP進行訪問，應該確保Internet上沒有人能用這些協議攻擊路由器，所以需要在路由器的內部端口和外部端口上禁止這些訪問。

4.阻止對關鍵端口的非法訪問。關鍵端口是指內部系統所使用的端口或者是防火墻本身暴露的端口。必須對關鍵端口的訪問加以限制，否則這些設備就很容易受到外部攻擊。

5.防止外部ICMP重定向欺騙。攻擊者可以利用ICMP重定向來對路由器進行重定向，將本應送到內部正確目標的數據重定向到它們所指定的設備，從而獲得有用信息。防范的命令是：no ip redirects。

6.防止外部源路由欺騙。源路由選擇是指使用數據鏈路層信息來為數據報進行路由選擇，該技術可以使入侵者為內部網的數據報指定一個非法的路由，這樣原本應該送到合法目的地的數據報就會被送到入侵者指定的地址。禁止使用源路由的命令是：no ip source-route。

7.防止盜用內部IP地址。攻擊者可以盜用內部IP地址進行非法訪問。而我們可以在局域網內將MAC地址與IP地址進行綁定來解決這個問題。具體命令是:arp固定IP地址MAC地址arpa。

路由器還有很多其他的安全防范的命令和措施，這里就不再贅述。路由器在使用了上述安全措施之后，可以有效的提高整個局域網的安全性。但需要指出的是，這些措施的使用既占用了路由器的資源，也耽誤了時間，從而犧牲了局域網的效率，會造成局域網對外部網絡訪問速度下降。

五、路由器的網絡管理功能

路由器的網絡管理功能比較多，這里重點講述3個功能。

1.利用MAC地址管理局域網用戶。每個局域網用戶網卡的MAC地址是固定不變的，所以通過用戶的MAC地址對他們進行訪問控制、設置權限。這個功能可以通過路由器自帶的“MAC地址控制”功能靈活實現。比如可以將網卡的MAC地址與IP地址綁定，這樣就保證在其他軟件或硬件的安全設置項中進行的設置不會由于用戶隨意更改IP而失去控制作用。再比如可以通過MAC地址設置控制用戶上網的權限或控制用戶對共享設備的使用權限，這樣可以減少共享設備的負擔，減少企業上網的費用。

2.利用封包過濾功能管理局域網用戶。網絡管理者可以對局域網流入和流出的數據包進行過濾以實現某些網管策略。管理者可以指定每一條管理規則的有效時間，比如所有主機在上班時間只能收發郵件但不能瀏覽網頁等。再比如禁止所有主機使用QQ，禁止所有主機訪問特定IP地址的網站，禁止部分IP地址的主機上網，禁止部分IP地址的主機的某些服務等等。這些功能都非常實用和有效，可以在路由器的設置界面中進行選擇和設置。

3.網絡地址轉換（NAT）功能。由于IP地址短缺的情況日益嚴重，一個企業申請的合法的Internet 的IP地址很少，而內部網絡用戶很多。可以通過路由器的NAT功能實現多個用戶同時公用若干個合法IP與外部Internet 進行通信。另一方面企業不想讓外部網絡用戶知道自己的網絡內部結構，可以通過NAT將內部網絡與外部Internet 隔離開，外部用戶根本不知道通過NAT設置的內部IP地址。

除了以上介紹的功能之外，路由器還有配置管理、性能管理、容錯管理和流量控制等功能。

六、結束語

路由器在局域網中起著非常重要的作用，可是卻有速度和價格上的劣勢。但是綜合考慮網絡管理、網絡安全、線路情況、網絡建設投資、網絡管理投資等多種因素，由路由器組成企業局域網還是具有較大優勢的一種組網方式。

參考文獻:

[1]康輝:計算機網絡基礎教程[M].北京:清華大學出版社，2005

[2]http://www.wzsky.net/html/Cisco/Route/

[3]傅連仲.計算機網絡集成與實踐[M].北京:電子工業出版社，2005

[4]http://network.chinaitlab.com/roudaogou/532771.html