計算機網絡課程教學中路由器端口安全配置的探究

◆王旭華

（江蘇省豐縣中等專業學校 江蘇 221700）

計算機網絡課程教學中路由器端口安全配置的探究

◆王旭華

（江蘇省豐縣中等專業學校 江蘇 221700）

路由器是一種連接因特網中廣域網和局域網的主要設備，其能夠根據信道自動選擇最佳路徑，其是互聯網的樞紐。現代路由器已經被廣泛應用到各行各業中，其能夠實現骨干網內部連接、骨干網之間的互相連接和互聯網的互相連接。路由器和交換機并不相同，路由器在參考模型的第三層網絡層，交換機在第二層數據鏈路層，兩者的功能也各不相同。路由器能夠實現高速選擇信息傳送線路，有效提高通信效率，降低網絡系統的通信符合，實現系統資源的有效節約，并且提高網絡的暢通率，使計算機網絡系統發揮出更大的效益。但是在路由器教學過程中，路由器的端口安全配置是不容易掌握的內容。基于此，以下就對計算機網絡教學中的路由器端口安全配置進行全面的研究。

計算機網絡；教學；路由器端口；安全配置

0 前言

在社會經濟不斷發展的過程中，Internet也有了快速的發展，在本次網絡中實現信息的共享已經無法滿足人們的需求，而是希望能夠有效使用全球不同地區和類型的網絡資源，路由技術在此背景下也逐漸成為網絡技術中的主要內容，并且也成為了較為重要的網絡設備。現代一般具有一定規模的計算機網絡不管是使用以太網技術，還是使用ATM技術，都要通過路由器實現，否則就不能夠正常運行和管理，并且路由器也成為了現代職業技術學校計算機網絡課程中的重點教學內容。但是由于計算機網絡課程具有較強的理論性，要使學生不僅能夠理解網絡理論，還要使學生能夠實際操作。所以本文就對計算機網絡教學過程中的路由器端口安全配置進行了全面的研究。

1 路由器的功能和工作原理

路由器動作主要包括兩個基本的內容，分別為轉發和尋徑，尋徑指的是在判定到達目的地之后的最佳路徑，通過路由算法進行實現。為了能夠實現最佳路徑的判定，路由選擇算法要啟動具有路由信息的路由表，其中的路由信息和使用的路由選擇算法并不相同。路由選擇算法是將不同的路由信息在路由表中填寫，根據路由表能夠將目的網絡和之后的關系告訴路由器。路由器之間的互通信息通過路由進行更新，從而使其能夠將反應網絡的拓撲變化全面的反映出來，并且通過路由器利用量度實現最佳路徑的維護。轉發指的是根據尋徑之后的路徑到信息分組中傳送，首先路由器在路由表中進行查找，判斷是否了解如何能夠將分組發送到下個站點中，如果路由器無法發送分組，那么就會將分組丟棄，要不然就通過路由表匯總的表項將分組到下個站點進行發送[1]。

網絡設備通過設備網絡地址實現通信，IP地址屬于和硬件地址沒有關系的邏輯地址，路由器通過 IP地址實現數據的轉發，其結構主要包括定義網絡號和定義網絡中主機號。目前在計算機網絡中使用子網掩碼實現IP地址中網絡地址和主機地址的確定，子網掩碼和IP地址都是32bit，并且兩者相互對應，沒有規定，子網掩碼的數字為1，其對應的IP地址為網絡號，子網掩碼的數據為0，其對應的IP地址為主機號。網絡號不同的IP地址無法直接的通信，就算相互連接也不能夠進行通信。路由器的端口較多，其主要目的就是和子網進行相互連接，不同端口 IP地址中的網絡號要求能夠和相互連接的 IP子網網絡號相同，不同端口的網絡號也是各不相同，其對應的 IP子網也各不相同，從而使子網中的主機能夠通過自身子網中的IP地址將需求的IP分組在路由器中傳送[2-3]。

2 路由器端口的安全配置

路由器安全配置的原則和目標就是防止對路由器的未經授權進行訪問、防止對網絡的未經授權進行訪問、防止網絡數據竊聽和防止欺騙性路由更新。

2.1 本地口令安全配置

路由器端口的安全配置實驗在cisco環境模擬軟件中實現，路由器端口安全配置的步驟為：首先，通過“Boson Ntework Designer”實現網絡拓撲的創建，選擇2621型作為本節需要配置的路由器，選擇1912型交換機，在文件中將創建之后的網絡拓撲進行保存；其次，將“Boson NetSim”進行驅動，之后點擊File將設計之后的拓撲圖文件進行加載；之后，在R2621中輸入enable命令，從而進入到特權模式中，之后輸入config terminal命令，進入到配置模式中，根據向導實現配置，圖1為配置界面中的登錄路由器賬號和密碼，將默認的賬號和密碼admin進行輸入，也可以根據說明書實現配置。根據設置向導進行設置，選擇上網方式，一般要用戶都會選擇PPPoE，如果其他網絡服務網可以根據自身的實際情況進行選擇。其中PC1的IP地址為172.16.1.1，子網掩碼為 255.255.255.0，網關為 172.16.1.254；之后輸入命令行為ipconfig/ip 172.16.1.1 255.255.255.0 ipconfig/dg 172.16.1.254；PC2的 IP地址為 172.16.1.2，子網掩碼為 255.255.255.0.網關為172.16.1.254；PC3的 IP地址為 172.16.1.3，子網掩碼為255.255.255.0.網關為172.16.1.254；PC1-1的IP地址為172.16.4.1，子網掩碼為255.255.255.0.網關為172.16.4.254；PC2-1的IP地址為 172.16.4.2，子網掩碼為 255.255.255.0.網關為 172.16.4.254；PC3-1的IP地址為172.16.4.3，子網掩碼為255.255.255.0.網關為172.16.4.254；IP地址通過內部網中的地址范圍實現子網的劃分。最后，進入到無線設計的無線安全設置，選擇WPA2-PSK模式，加密規則使用AES，設置無線網絡密鑰，在設置之后對路由器進行重啟，然后輸入新的密碼進行連接，整個網絡的設備都會保存在相應的文件中[4-5]。

2.2 多級權限配置

在缺省條件下，IOS只能夠具有一個超級權限口令，能夠配置多個級別的權限和口令，通過級別口令登錄用戶的設置，從而允許用戶實現其中命令。多級權限配置的步驟為：

首先，在全局設置模式中設置某條命令為某個級別：

privilege mode level

No privilege mode level

圖1 配置界面中的登錄路由器賬號和密碼

IOS能夠定制16個級別權限（0-15），數字越大，表示權限越高，權限較高的級別能夠繼承低權限中的命令。

其次，設置級別口令：

Enable secret level

利用多級權限，能夠通過管理需求，賦予工作相應的權限。

路由器能夠防范多種攻擊，比如：其一，Smurf攻擊。阻止從自身網絡中發起的Smurf攻擊，并且還能夠避免自身網絡作為中間代理，如果沒有必須要對外發送廣播數據包的時候，就能夠在路由器接口中設置禁止直接廣播。其二，防止外部源路由欺騙。源路由的選擇指的是通過數據鏈層信息作為數據包實現路由選擇，此技術跨過了網絡層路由信息，使入侵人員能夠作為數據報制定的非法路由，從而使原本要發送到合法目的的數據報從到入侵者的制定地址，所以就要使用源路由命令進行禁止，其命令為：no ip source-route。

3 路由器的安全維護

在科技如此發達的現代，通過路由器漏洞導致攻擊的事件不斷發生，路由器攻擊會導致 CPU周期出現浪費，對信息流量進行誤導，并且使網絡出現異常設置癱瘓。所以就要使用針對性的安全措施對路由器的安全進行保護。其一，降低口令問題。據相關研究表示，有大部分的安全事故都是通過口令較為薄弱導致的，不法人員通過較為薄弱的口令或者默認口令對路由器進行攻擊，實現口令的加長或者選擇時間較長的口令能夠有效避免此種問題的發生；其二，將IP直接廣播進行關閉。Smurf攻擊屬于拒絕服務攻擊，供給人員通過假的源地址對網絡廣播發送請求，從而使主機對其進行相應，以此降低網絡的性能，所以就要將 IP直接廣播進行關閉；其三，關閉不必要的服務。要想有效提高路由器在使用過程中的安全性，就要將不必要的服務進行關閉或者禁用；其四，實現邏輯訪問的限制。邏輯訪問的限制主要是通過訪問控制列表的合理處置，對終端會話進行遠程限制，以此組織黑客得到系統邏輯訪問，要想避免出現此種問題，就要在路由器中的虛擬終端端口添加訪問列表[6]。

4 結束語

人們在談及網絡安全問題的時候就會想到路由器，其能夠組織外網計算機對內部網絡的攻擊。但是在現代科學技術不斷發展的社會中，全新的安全形勢對于網絡的安全性也提出了全新的考驗，網絡管理人員就要對技術進行技術的更新，使用有效的應對措施保證網絡的穩定暢通。路由器在網絡中的具有重要的現實作用，其在網絡層進行工作，能夠確定網絡中數據包的目的地址，并且將數據包發送到目的地中，并且還能夠實現數據包的過濾。所以，計算機專業學生要全面掌握路由器端口的安全配置，以此有效提高網絡使用過程中的安全性。

[1]涂昌生．路由器控制端口多設備訪問功能研究[J]．電腦編程技巧與維護，2016．

[2]田安紅，付承彪．虛擬化網絡平臺下靜態路由選擇研究[J]．實驗技術與管理，2014．

[3]秦曉航．議計算機網絡中路由器的應用與配置[J]．城市建設理論研究：電子版，2014．

[4]阮燦華，陳秋妹，林大輝．虛擬化網絡平臺下的負載平衡動態路由選擇研究[J]．智能計算機與應用，2016．

[5]劉文杰，韓利華，楊新鋒．網絡攻擊下端口安全保護建模仿真[J]．計算機仿真，2016．

[6]楊文福．仿真軟件Packet Tracer在動態路由協議教學中的運用[J]．當代教育實踐與教學研究，2016．