網絡中路由器的應用與配置

韓頂軍

摘 要 路由器是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，并能夠高速的選擇信息傳送的線路，大大提高通信速度，減輕網絡系統通信負荷，節約網絡系統資源，提高網絡系統暢通率，從而讓網絡系統發揮出更大的效益來。

關鍵詞 路由器 IP地址 尋徑 轉發

中圖分類號：TP3 文獻標識碼：A

隨著Internet的迅猛發展，人們已經不滿足于僅在本地網絡上共享信息，而希望最大限度地利用全球各個地區、各種類型的網絡資源，路由技術在網絡技術中已逐漸成為關鍵部分，路由器也隨之成為最重要的網絡設備。在目前的情況下，任何一個有一定規模的計算機網絡（如企業網、校園網、智能大廈等），無論采用的是快速以大網技術、FDDI技術、還是ATM技術，都離不開路由器，否則就無法正常運作和管理。

1 路由器的工作原理

網絡中的設備用它們的網絡地址（TCP/IP網絡中為IP地址）互相通信。IP地址是與硬件地址無關的“邏輯”地址。路由器只根據IP地址來轉發數據。IP地址的結構有兩部分，一部分定義網絡號，另一部分定義網絡內的主機號。目前，在Internet網絡中采用子網掩碼來確定IP地址中網絡地址和主機地址。子網掩碼與IP地址一樣也是32bit，并且兩者是一一對應的。同一個網絡中的主機IP地址，其網絡號必須是相同的，這個網絡稱為IP子網。通信只能在具有相同網絡號的IP地址之間進行，要與其它IP子網的主機進行通信，則必須經過同一網絡上的某個路由器或網關（gateway）出去。

2 路由器的主要功能

路由動作包括兩項基本內容：尋徑和轉發。路由器間互通信息進行路由更新，更新維護路由表使之正確反映網絡的拓撲變化，并由路由器根據量度來決定最佳路徑。轉發即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發送到下一個站點（路由器或主機），如果路由器不知道如何發送分組，通常將該分組丟棄；否則就根據路由表的相應表項將分組發送到下一個站點，如果目的網絡直接與路由器相連，路由器就把分組直接送到相應的端口上。這就是路由轉發協議（routed protocol）。

3 路由選擇協議

典型的路由選擇方式有兩種：靜態路由和動態路由。靜態路由是在路由器中設置的固定的路由表。除非網絡管理員干預，否則靜態路由不會發生變化。由于靜態路由不能對網絡的改變作出反映，一般用于網絡規模不大、拓撲結構固定的網絡中。靜態路由的優點是簡單、高效、可靠。在所有的路由中，靜態路由優先級最高。當動態路由與靜態路由發生沖突時，以靜態路由為準。各種動態路由協議會不同程度地占用網絡帶寬和CPU資源。靜態路由和動態路由有各自的特點和適用范圍，因此在網絡中動態路由通常作為靜態路由的補充。當一個分組在路由器中進行尋徑時，路由器首先查找靜態路由，如果查到則根據相應的靜態路由轉發分組；否則再查找動態路由。

4 路由算法

路由算法按照種類可分為以下幾種：靜態和動態、單路和多路、平等和分級、源路由和透明路由、域內和域間、鏈路狀態和距離向量。鏈路狀態算法（也稱最短路徑算法）發送路由信息到互聯網上所有的結點，然而對于每個路由器，僅發送它的路由表中描述了其自身鏈路狀態的那一部分。距離向量算法（也稱為Bellman-Ford算法）則要求每個路由器發送其路由表全部或部分信息，但僅發送到鄰近結點上。從本質上來說，鏈路狀態算法將少量更新信息發送至網絡各處，而距離向量算法發送大量更新信息至鄰接路由器。由于鏈路狀態算法收斂更快，因此它在一定程度上比距離向量算法更不易產生路由循環。

5 路由器安全維護

利用路由器的漏洞發起攻擊的事件經常發生。路由器攻擊會浪費CPU周期，誤導信息流量，使網絡異常甚至陷于癱瘓。因此需要采取相應的安全措施來保護路由器的安全。

（1）避免口令泄露危機。據卡內基梅隆大學的CERT/CC（計算機應急反應小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。

（2）關閉IP直接廣播。使用no ip source-route關閉IP直接廣播地址。

（3）禁用不必要的服務。強調路由器的安全性就不得不禁用一些不必要的本地服務。

（4）限制邏輯訪問。限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。

（5）封鎖ICMP ping請求?？刂葡f議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。

（6）關閉IP源路由。IP協議允許一臺主機指定數據包通過你的網絡路由，而不是允許網絡組件確定最佳的路徑。

（7）監控配置更改。用戶在對路由器配置進行改動之后，需要對其進行監控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設備進行遠程配置，用戶最好將SNMP設備配置成只讀。此外，用戶還需將系統日志消息從路由器發送至指定服務器。

總之，路由器在網絡中起著舉足輕重的作用，它工作在網絡層，可以確定網絡上各個數據包的目的地址，并將數據包發往通向目的地的最短路徑上，同時路由器還可以過濾數據包。