網絡中路由器的應用與配置

尹魁衡陽財經工業學院

網絡中路由器的應用與配置

尹魁
衡陽財經工業學院

路由器屬于某種網絡設備，其主要的作用是將不同的網絡以及網段進行連接并使得他們彼此間能夠讀懂彼此的數據，并高速的選擇信息傳送的線路，提高通信速度，減輕網絡系統通信負荷，節約網絡系統資源，提高網絡系統暢通率，從而讓網絡系統發揮出更大的效益來。

路由器 IP地址 尋徑轉發

隨著Internet的迅猛發展，路由器已經發展成為非常重要的網絡設備。現如今，路由器無處不在，只要計算機網絡存在一定規模，就一定需要路由器來維持其正常運作，并對其進行管理。

1 路由器的工作原理

網絡設備之間一般是通過IP地址即網絡地址進行通信，而路由器只是經由IP地址來進行數據的轉發。IP子網是指在同一網絡中的其網絡信號是一樣的，且通信只能在同一個IP地址進行，如果想要與其他IP子網通信，則必須經由路由器。因為不同網絡的IP地址之間是不能進行通信的，而路由器起到了橋梁的作用，將自己的多個端口與不同的IP子網進行連接，從而達到通信的目的。

2 路由器的功能

路由器主要有兩種功能即尋徑與轉發。尋徑顧名思義就是尋找到最佳的途徑，然后經由路由器選擇算法來實現。為了獲得最佳路徑，路由器選擇算法將從各處收集到的信息輸入路由器表中，從而詳細了解下一站與目的網絡之間的關系。各個路由器之間通過信息的互通，并使得路由獲得更新，并根據度量尋找到最佳的最佳路徑。路由器一旦不知道如何發送分組，它將放棄該分組，要么就根據路由表發送到下一個站點。

3 路由選擇協議

在對路由器進行選擇時，可以采用兩種方式進行。一種是靜態路由，是指在路由器中設置固定的路由表；還有一種是動態路由，是指網絡中的路由器之間相互通信，進行信息的傳遞與與接收，能夠及時反映網絡結構的變化。靜態路由一般不會發生變化，其最大的優點就是簡單、可靠以及效率高。此外，靜態路由是所有的路由中擁有最高的優先級。當靜態與動態路由發生任何沖突時，一定要以靜態路由為準。不管是靜態路由還是動態路由，它們都有其各自的特點，動態路由通常是作為靜態路由的補充。

4 路由算法

按種類分，路由算法可以分為靜態與動態、平等與分級、源路由與透明路由以及單路和多路，還包括域內與域間、鏈路狀態與距離向量。其中最短的路徑算法要算鏈路狀態算法，它是將路由信息發送到互聯網所有的結點上，每個路由器只發送有關其自身鏈路狀態信息。而距離向量算法則要求每個路由器發送全部信息或者部分信息，但是只是發送到附近的結點上。

因此，鏈路狀態算法其實是將非常少的信息發送到網絡的各處，而距離向量算法則是將大量的信息發送到臨近路由器。相對距離向量算法，鏈路狀態算法收斂更快，因此不容易出現路由循環的情況。

總之，鏈路狀態算法比距離向量算法擁有更強的CPU能力以及更大的存儲空間，因此也更貴一下。但是多數時候，它們都能正常運行。

5 路由器安全維護

利用路由器的漏洞發起攻擊的事件經常發生。路由器攻擊會浪費CPU周期，誤導信息流量，使網絡異常甚至陷于癱瘓。因此需要采取相應的安全措施來保護路由器的安全。

5.1 避免口令泄露危機

據卡內基梅隆大學的CERT/CC（計算機應急反應小組，控制中心1稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到6O天的口令有效期等措施有助于防止這類漏洞。

5.2 關閉IP直接廣播

Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況會降低網絡性能。使用NO ip source—route關閉IP直接廣播地址。

5.3 禁用不必要的服務

強調路由器的安全性就不得不禁用一些不必要的本地服務，例如SNMP和DHCP這些用戶很少用到的服務，都可以禁用，只有絕對必要的時候才使用。另外，可能時關閉路由器的HTTP設置，因為HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而，HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。

5.4 限制邏輯訪問

限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。SSH是優先的邏輯訪問方法，但如果無法避免Tel—net，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

5.5 封鎖ICMP ping請求

控制消息協議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。因此通過取消遠程用戶接收ping請求的應答能力，就能更容易的避開那些元人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”（script kiddies）。

5.6 關閉IP源路由

IP協議允許一臺主機指定數據包通過你的網絡路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法應用是診斷連接故障。但是，這種用途很少得到應用，事實上，它最常見的用途是為了偵察目的對網絡進行鏡像，或者用于攻擊者在專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

5.7 監控配置更改

用戶在對路由器配置進行改動之后，需要對其進行監控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設備進行遠程配置，用戶最好將SNMP設備配置成只讀。拒絕對這些設備進行寫訪問，用戶就能防止黑客改動或關閉接口。此外，用戶還需將系統日志消息從路由器發送至指定服務器。

總之，路由器在網絡中起著舉足輕重的作用，它工作在網絡層，可以確定網絡上各個數據包的目的地址，并將數據包發往通向目的地的最短路徑上，同時路由器還可以過濾數據包。

［1］尚曉航等.Internet技術與應用.中國鐵道出版社.2007年

［2］IT動力源路由器配置與測.