路由器在企業(yè)局域網(wǎng)中的應(yīng)用

[摘要] 路由器是局域網(wǎng)中非常重要的網(wǎng)絡(luò)設(shè)備。本文首先介紹了路由器在局域網(wǎng)中的主要幾個應(yīng)用方面，然后介紹了路由器的安全策略，最后介紹了路由器的幾種網(wǎng)絡(luò)管理功能。

[關(guān)鍵詞] 路由器 局域網(wǎng) 應(yīng)用

隨著信息技術(shù)的發(fā)展，世界經(jīng)濟(jì)正在走向信息化、全球化和市場化。各個企業(yè)為了在競爭中取得成功，正在不斷地利用現(xiàn)代網(wǎng)絡(luò)技術(shù)和先進(jìn)的網(wǎng)絡(luò)設(shè)備，構(gòu)建企業(yè)管理辦公系統(tǒng)和電子商務(wù)網(wǎng)站，實現(xiàn)企業(yè)高效率的運作，實踐現(xiàn)代經(jīng)營理念和經(jīng)營策略。在這樣的大背景之下，建設(shè)企業(yè)的局域網(wǎng)便成為了現(xiàn)代企業(yè)的一項迫切的任務(wù)。

在企業(yè)局域網(wǎng)中，路由器是最常見的也是非常重要的設(shè)備。本文重點介紹路由器在局域網(wǎng)中的應(yīng)用。

一、路由器用于分隔子網(wǎng)

在企業(yè)局域網(wǎng)內(nèi)部，路由器的主要作用之一是分隔子網(wǎng)，同時隔離子網(wǎng)之間的廣播。早期的企業(yè)局域網(wǎng)中，所有主機(jī)處于同一邏輯網(wǎng)絡(luò)中。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，局域網(wǎng)演變成以高速主干和路由器聯(lián)接的多個子網(wǎng)所組成的園區(qū)網(wǎng)，也就是說這樣的局域網(wǎng)已經(jīng)是立體層次結(jié)構(gòu)了。這若干個子網(wǎng)在邏輯上獨立，而路由器就是惟一能夠分隔它們的設(shè)備。

路由器負(fù)責(zé)子網(wǎng)間的報文轉(zhuǎn)發(fā)，根據(jù)路由協(xié)議算法產(chǎn)生多條路由，而且能為不同的網(wǎng)絡(luò)應(yīng)用選擇各自不同的最佳路由。

路由器還負(fù)責(zé)子網(wǎng)間的廣播隔離。路由器每一端口聯(lián)接一個子網(wǎng)，不同的端口屬于不同的廣播域，某一個端口的廣播報文不能經(jīng)過路由器廣播出去擴(kuò)散到整個企業(yè)局域網(wǎng)。這樣既做到了信息保密，也能隔離某些病毒發(fā)起的廣播攻擊。

在實際應(yīng)用中，我們可以將路由器的不同端口用于聯(lián)接不同的企業(yè)部門（即同一部門的設(shè)備全部連接在路由器的同一端口下）。

二、路由器用于VLAN間的通信

為了更好地管理局域網(wǎng)，可以在局域網(wǎng)中劃分VLAN。VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”，是將局域網(wǎng)設(shè)備從邏輯上劃分（不是從物理上劃分）成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。如果沒有路由的話，不同VLAN之間是不能相互通信的，這樣增加了企業(yè)局域網(wǎng)的安全性。如果需要在不同VLAN間通信，可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。

三、路由器作為局域網(wǎng)出口

路由器可以作為企業(yè)局域網(wǎng)聯(lián)入廣域網(wǎng)的接口。目前的企業(yè)可以選擇多廣域網(wǎng)（WAN）端口路由器，這樣的路由器允許局域網(wǎng)共享多條外線。它的好處有：

1.增加局域網(wǎng)出口帶寬。用戶可以多申請幾條寬帶線路，負(fù)載在這些端口之間均衡，就相當(dāng)于出口帶寬擴(kuò)展了幾倍。由于每條寬帶線路的費用不高，對于較大的局域網(wǎng)也是很經(jīng)濟(jì)的。

2.線路備份?？梢栽诓煌腤AN口上選擇不同的ISP（Internet Service Provider）。如果某個ISP、某條線路出現(xiàn)故障時，可以把數(shù)據(jù)流量重新分配到?jīng)]有故障的端口上，整個網(wǎng)絡(luò)還能正常運行。

3.享受更多的內(nèi)容服務(wù)。不同的ISP提供不同的服務(wù)，例如游戲、視頻點播等。多個WAN口聯(lián)接多個ISP，就可以享受這些服務(wù)。

多WAN口對路由器的硬件要求比較高，軟件就更是復(fù)雜。但是對于現(xiàn)在那些信息化程度較高的企業(yè)局域網(wǎng)及電子商務(wù)網(wǎng)站來說，網(wǎng)絡(luò)業(yè)務(wù)必須是非常可靠，須臾都不能離開的。所以多WAN口路由器是有它的優(yōu)勢的。

四、路由器的安全防御功能

局域網(wǎng)出口路由器一般處在防火墻的外部，負(fù)責(zé)聯(lián)入廣域網(wǎng)。此時路由器自身的安全防御就顯得非常重要，否則就可能被攻擊者利用進(jìn)而威脅到局域網(wǎng)。所以一定要對路由器進(jìn)行合理的配置，使路由器成為局域網(wǎng)抵御外部攻擊的第一條防線。

1.防止外部IP地址欺騙。外部網(wǎng)絡(luò)的非法用戶可以將自己的IP地址改成內(nèi)部網(wǎng)絡(luò)的合法IP地址或回環(huán)地址，從而獲得對局域網(wǎng)的非法訪問權(quán)限。所以要禁止源地址為私有地址、回環(huán)地址、多目的地址，以及沒有列出源地址的所有數(shù)據(jù)流。

2.防止外部非法探測。非法訪問者在對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊之前，常常使用ping命令或其他命令探測網(wǎng)絡(luò)，所以要禁止從外部使用這些命令。一般情況下是阻止答復(fù)的輸出，而不阻止探測的進(jìn)入。

3.保護(hù)路由器不受攻擊。路由器可以通過Telnet或SNMP進(jìn)行訪問，應(yīng)該確保Internet上沒有人能用這些協(xié)議攻擊路由器，所以需要在路由器的內(nèi)部端口和外部端口上禁止這些訪問。

4.阻止對關(guān)鍵端口的非法訪問。關(guān)鍵端口是指內(nèi)部系統(tǒng)所使用的端口或者是防火墻本身暴露的端口。必須對關(guān)鍵端口的訪問加以限制，否則這些設(shè)備就很容易受到外部攻擊。

5.防止外部ICMP重定向欺騙。攻擊者可以利用ICMP重定向來對路由器進(jìn)行重定向，將本應(yīng)送到內(nèi)部正確目標(biāo)的數(shù)據(jù)重定向到它們所指定的設(shè)備，從而獲得有用信息。防范的命令是：no ip redirects。

6.防止外部源路由欺騙。源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進(jìn)行路由選擇，該技術(shù)可以使入侵者為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由，這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報就會被送到入侵者指定的地址。禁止使用源路由的命令是：no ip source-route。

7.防止盜用內(nèi)部IP地址。攻擊者可以盜用內(nèi)部IP地址進(jìn)行非法訪問。而我們可以在局域網(wǎng)內(nèi)將MAC地址與IP地址進(jìn)行綁定來解決這個問題。具體命令是:arp固定IP地址MAC地址arpa。

路由器還有很多其他的安全防范的命令和措施，這里就不再贅述。路由器在使用了上述安全措施之后，可以有效的提高整個局域網(wǎng)的安全性。但需要指出的是，這些措施的使用既占用了路由器的資源，也耽誤了時間，從而犧牲了局域網(wǎng)的效率，會造成局域網(wǎng)對外部網(wǎng)絡(luò)訪問速度下降。

五、路由器的網(wǎng)絡(luò)管理功能

路由器的網(wǎng)絡(luò)管理功能比較多，這里重點講述3個功能。

1.利用MAC地址管理局域網(wǎng)用戶。每個局域網(wǎng)用戶網(wǎng)卡的MAC地址是固定不變的，所以通過用戶的MAC地址對他們進(jìn)行訪問控制、設(shè)置權(quán)限。這個功能可以通過路由器自帶的“MAC地址控制”功能靈活實現(xiàn)。比如可以將網(wǎng)卡的MAC地址與IP地址綁定，這樣就保證在其他軟件或硬件的安全設(shè)置項中進(jìn)行的設(shè)置不會由于用戶隨意更改IP而失去控制作用。再比如可以通過MAC地址設(shè)置控制用戶上網(wǎng)的權(quán)限或控制用戶對共享設(shè)備的使用權(quán)限，這樣可以減少共享設(shè)備的負(fù)擔(dān)，減少企業(yè)上網(wǎng)的費用。

2.利用封包過濾功能管理局域網(wǎng)用戶。網(wǎng)絡(luò)管理者可以對局域網(wǎng)流入和流出的數(shù)據(jù)包進(jìn)行過濾以實現(xiàn)某些網(wǎng)管策略。管理者可以指定每一條管理規(guī)則的有效時間，比如所有主機(jī)在上班時間只能收發(fā)郵件但不能瀏覽網(wǎng)頁等。再比如禁止所有主機(jī)使用QQ，禁止所有主機(jī)訪問特定IP地址的網(wǎng)站，禁止部分IP地址的主機(jī)上網(wǎng)，禁止部分IP地址的主機(jī)的某些服務(wù)等等。這些功能都非常實用和有效，可以在路由器的設(shè)置界面中進(jìn)行選擇和設(shè)置。

3.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能。由于IP地址短缺的情況日益嚴(yán)重，一個企業(yè)申請的合法的Internet 的IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過路由器的NAT功能實現(xiàn)多個用戶同時公用若干個合法IP與外部Internet 進(jìn)行通信。另一方面企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet 隔離開，外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。

除了以上介紹的功能之外，路由器還有配置管理、性能管理、容錯管理和流量控制等功能。

六、結(jié)束語

路由器在局域網(wǎng)中起著非常重要的作用，可是卻有速度和價格上的劣勢。但是綜合考慮網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、線路情況、網(wǎng)絡(luò)建設(shè)投資、網(wǎng)絡(luò)管理投資等多種因素，由路由器組成企業(yè)局域網(wǎng)還是具有較大優(yōu)勢的一種組網(wǎng)方式。

參考文獻(xiàn):

[1]康輝:計算機(jī)網(wǎng)絡(luò)基礎(chǔ)教程[M].北京:清華大學(xué)出版社，2005

[2]http://www.wzsky.net/html/Cisco/Route/

[3]傅連仲.計算機(jī)網(wǎng)絡(luò)集成與實踐[M].北京:電子工業(yè)出版社，2005

[4]http://network.chinaitlab.com/roudaogou/532771.html