網(wǎng)絡(luò)中路由器的應(yīng)用與配置

韓頂軍

摘 要 路由器是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠相互“讀”懂對方的數(shù)據(jù)，并能夠高速的選擇信息傳送的線路，大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。

關(guān)鍵詞 路由器 IP地址 尋徑 轉(zhuǎn)發(fā)

中圖分類號：TP3 文獻(xiàn)標(biāo)識碼：A

隨著Internet的迅猛發(fā)展，人們已經(jīng)不滿足于僅在本地網(wǎng)絡(luò)上共享信息，而希望最大限度地利用全球各個地區(qū)、各種類型的網(wǎng)絡(luò)資源，路由技術(shù)在網(wǎng)絡(luò)技術(shù)中已逐漸成為關(guān)鍵部分，路由器也隨之成為最重要的網(wǎng)絡(luò)設(shè)備。在目前的情況下，任何一個有一定規(guī)模的計算機網(wǎng)絡(luò)（如企業(yè)網(wǎng)、校園網(wǎng)、智能大廈等），無論采用的是快速以大網(wǎng)技術(shù)、FDDI技術(shù)、還是ATM技術(shù)，都離不開路由器，否則就無法正常運作和管理。

1 路由器的工作原理

網(wǎng)絡(luò)中的設(shè)備用它們的網(wǎng)絡(luò)地址（TCP/IP網(wǎng)絡(luò)中為IP地址）互相通信。IP地址是與硬件地址無關(guān)的“邏輯”地址。路由器只根據(jù)IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址的結(jié)構(gòu)有兩部分，一部分定義網(wǎng)絡(luò)號，另一部分定義網(wǎng)絡(luò)內(nèi)的主機號。目前，在Internet網(wǎng)絡(luò)中采用子網(wǎng)掩碼來確定IP地址中網(wǎng)絡(luò)地址和主機地址。子網(wǎng)掩碼與IP地址一樣也是32bit，并且兩者是一一對應(yīng)的。同一個網(wǎng)絡(luò)中的主機IP地址，其網(wǎng)絡(luò)號必須是相同的，這個網(wǎng)絡(luò)稱為IP子網(wǎng)。通信只能在具有相同網(wǎng)絡(luò)號的IP地址之間進(jìn)行，要與其它IP子網(wǎng)的主機進(jìn)行通信，則必須經(jīng)過同一網(wǎng)絡(luò)上的某個路由器或網(wǎng)關(guān)（gateway）出去。

2 路由器的主要功能

路由動作包括兩項基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓⒂陕酚善鞲鶕?jù)量度來決定最佳路徑。轉(zhuǎn)發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發(fā)送到下一個站點（路由器或主機），如果路由器不知道如何發(fā)送分組，通常將該分組丟棄；否則就根據(jù)路由表的相應(yīng)表項將分組發(fā)送到下一個站點，如果目的網(wǎng)絡(luò)直接與路由器相連，路由器就把分組直接送到相應(yīng)的端口上。這就是路由轉(zhuǎn)發(fā)協(xié)議（routed protocol）。

3 路由選擇協(xié)議

典型的路由選擇方式有兩種：靜態(tài)路由和動態(tài)路由。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會發(fā)生變化。由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準(zhǔn)。各種動態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。靜態(tài)路由和動態(tài)路由有各自的特點和適用范圍，因此在網(wǎng)絡(luò)中動態(tài)路由通常作為靜態(tài)路由的補充。當(dāng)一個分組在路由器中進(jìn)行尋徑時，路由器首先查找靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)分組；否則再查找動態(tài)路由。

4 路由算法

路由算法按照種類可分為以下幾種：靜態(tài)和動態(tài)、單路和多路、平等和分級、源路由和透明路由、域內(nèi)和域間、鏈路狀態(tài)和距離向量。鏈路狀態(tài)算法（也稱最短路徑算法）發(fā)送路由信息到互聯(lián)網(wǎng)上所有的結(jié)點，然而對于每個路由器，僅發(fā)送它的路由表中描述了其自身鏈路狀態(tài)的那一部分。距離向量算法（也稱為Bellman-Ford算法）則要求每個路由器發(fā)送其路由表全部或部分信息，但僅發(fā)送到鄰近結(jié)點上。從本質(zhì)上來說，鏈路狀態(tài)算法將少量更新信息發(fā)送至網(wǎng)絡(luò)各處，而距離向量算法發(fā)送大量更新信息至鄰接路由器。由于鏈路狀態(tài)算法收斂更快，因此它在一定程度上比距離向量算法更不易產(chǎn)生路由循環(huán)。

5 路由器安全維護(hù)

利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會浪費CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來保護(hù)路由器的安全。

（1）避免口令泄露危機。據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC（計算機應(yīng)急反應(yīng)小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。

（2）關(guān)閉IP直接廣播。使用no ip source-route關(guān)閉IP直接廣播地址。

（3）禁用不必要的服務(wù)。強調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)。

（4）限制邏輯訪問。限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠(yuǎn)程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問。

（5）封鎖ICMP ping請求。控制消息協(xié)議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時間戳和網(wǎng)絡(luò)掩碼以及對OS修正版本作出推測的信息。

（6）關(guān)閉IP源路由。IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。

（7）監(jiān)控配置更改。用戶在對路由器配置進(jìn)行改動之后，需要對其進(jìn)行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設(shè)備進(jìn)行遠(yuǎn)程配置，用戶最好將SNMP設(shè)備配置成只讀。此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。

總之，路由器在網(wǎng)絡(luò)中起著舉足輕重的作用，它工作在網(wǎng)絡(luò)層，可以確定網(wǎng)絡(luò)上各個數(shù)據(jù)包的目的地址，并將數(shù)據(jù)包發(fā)往通向目的地的最短路徑上，同時路由器還可以過濾數(shù)據(jù)包。