趙沛

【摘要】路由器是一種連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，并能夠高速的選擇信息傳送的線路，大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益。

【關(guān)鍵詞】路由器；IP地址

隨著Internet的迅猛發(fā)展，人們都希望最大限度地利用全球各個地區(qū)、各種類型的網(wǎng)絡(luò)資源，路由技術(shù)在網(wǎng)絡(luò)技術(shù)中已逐漸成為關(guān)鍵部分，路由器也隨之成為最重要的網(wǎng)絡(luò)設(shè)備。在目前的情況下，無論采用的是快速以大網(wǎng)技術(shù)、FDDI技術(shù)、還是ATM技術(shù)，都離不開路由器，否則就無法正常運(yùn)作和管理。

一、路由器的工作原理

網(wǎng)絡(luò)中的設(shè)備用它們的網(wǎng)絡(luò)地址（TCP/IP網(wǎng)絡(luò)中為IP地址）互相通信。IP地址是與硬件地址無關(guān)的“邏輯”地址。路由器只根據(jù)IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址的結(jié)構(gòu)有兩部分，一部分定義網(wǎng)絡(luò)號，另一部分定義網(wǎng)絡(luò)內(nèi)的主機(jī)號。目前，在Internet網(wǎng)絡(luò)中采用子網(wǎng)掩碼來確定IP地址中網(wǎng)絡(luò)地址和主機(jī)地址。子網(wǎng)掩碼與IP地址一樣也是32bit，并且兩者是一一對應(yīng)的，并規(guī)定，子網(wǎng)掩碼中數(shù)字為“1”所對應(yīng)的IP地址中的部分為網(wǎng)絡(luò)號，為“0”所對應(yīng)的則為主機(jī)號。網(wǎng)絡(luò)號和主機(jī)號合起來，才構(gòu)成一個完整的IP地址。同一個網(wǎng)絡(luò)中的主機(jī)IP地址，其網(wǎng)絡(luò)號必須是相同的，這個網(wǎng)絡(luò)稱為IP子網(wǎng)。通信只能在具有相同網(wǎng)絡(luò)號的IP地址之間進(jìn)行，要與其它IP子網(wǎng)的主機(jī)進(jìn)行通信，則必須經(jīng)過同一網(wǎng)絡(luò)上的某個路由器或網(wǎng)關(guān)（gateway）出去。不同網(wǎng)絡(luò)號的IP地址不能直接通信，即使它們接在一起，也不能通信。路由器有多個端口，用于連接多個IP子網(wǎng)。每個端口的IP地址的網(wǎng)絡(luò)號要求與所連接的IP子網(wǎng)的網(wǎng)絡(luò)號相同。不同的端口為不同的網(wǎng)絡(luò)號，對應(yīng)不同的IP子網(wǎng)，這樣才能使各子網(wǎng)中的主機(jī)通過自己子網(wǎng)的IP地址把要求出去的IP分組送到路由器上。

二、路由器的主要功能

路由動作包括兩項基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。尋徑即判定到達(dá)目的地的最佳路徑，由路由選擇算法來實現(xiàn)。為了判定最佳路徑，路由選擇算法必須啟動并維護(hù)包含路由信息的路由表，其中路由信息依賴于所用的路由選擇算法而不盡相同。路由選擇算法將收集到的不同信息填入路由表中，根據(jù)路由表可將目的網(wǎng)絡(luò)與下一站（nexthop）的關(guān)系告訴路由器。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓?，并由路由器根?jù)量度來決定最佳路徑。轉(zhuǎn)發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由轉(zhuǎn)發(fā)協(xié)議和路由選擇協(xié)議是相互配合又相互獨立的概念，前者使用后者維護(hù)的路由表，同時后者要利用前者提供的功能來發(fā)布路由協(xié)議數(shù)據(jù)分組。

三、路由選擇協(xié)議

典型的路由選擇方式有兩種：靜態(tài)路由和動態(tài)路由。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會發(fā)生變化。由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準(zhǔn)。動態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些信息通過各個網(wǎng)絡(luò)，引起各路由器重新啟動其路由算法，并更新各自的路由表以動態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種動態(tài)路由協(xié)議會不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。靜態(tài)路由和動態(tài)路由有各自的特點和適用范圍，因此在網(wǎng)絡(luò)中動態(tài)路由通常作為靜態(tài)路由的補(bǔ)充。

四、路由算法

路由算法按照種類可分為以下幾種：靜態(tài)和動態(tài)、單路和多路、平等和分級、源路由和透明路由、域內(nèi)和域間、鏈路狀態(tài)和距離向量。鏈路狀態(tài)算法（也稱最短路徑算法）發(fā)送路由信息到互聯(lián)網(wǎng)上所有的結(jié)點，然而對于每個路由器，僅發(fā)送它的路由表中描述了其自身鏈路狀態(tài)的那一部分。距離向量算法（也稱為Bellman-Ford算法）則要求每個路由器發(fā)送其路由表全部或部分信息，但僅發(fā)送到鄰近結(jié)點上。從本質(zhì)上來說，鏈路狀態(tài)算法將少量更新信息發(fā)送至網(wǎng)絡(luò)各處，而距離向量算法發(fā)送大量更新信息至鄰接路由器。由于鏈路狀態(tài)算法收斂更快，因此它在一定程度上比距離向量算法更不易產(chǎn)生路由循環(huán)。但另一方面，鏈路狀態(tài)算法要求比距離向量算法有更強(qiáng)的CPU能力和更多的內(nèi)存空間，因此鏈路狀態(tài)算法將會在實現(xiàn)時顯得更昂貴一些。除了這些區(qū)別，兩種算法在大多數(shù)環(huán)境下都能很好地運(yùn)行。

五、路由器安全維護(hù)

利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會浪費(fèi)CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來保護(hù)路由器的安全。①避免口令泄露危機(jī)。據(jù)卡內(nèi)基梅隆大學(xué)計算機(jī)應(yīng)急反應(yīng)小組/控制中心稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。②關(guān)閉IP直接廣播。Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機(jī)對這個廣播請求做出回應(yīng)。這種情況會降低網(wǎng)絡(luò)性能。使用no ip source-route關(guān)閉IP直接廣播地址。③限制邏輯訪問。限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠(yuǎn)程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機(jī)。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。④封鎖ICMP ping請求。控制消息協(xié)議（ICMP）有助于排除故障，識別正在使用的主機(jī)，這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時間戳和網(wǎng)絡(luò)掩碼以及對OS修正版本作出推測的信息。因此通過取消遠(yuǎn)程用戶接收ping請求的應(yīng)答能力，就能更容易的避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”（script kiddies）。⑤關(guān)閉IP源路由。IP協(xié)議允許一臺主機(jī)指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法應(yīng)用是診斷連接故障。但是，這種用途很少得到應(yīng)用，事實上，它最常見的用途是為了偵察目的對網(wǎng)絡(luò)進(jìn)行鏡像，或者用于攻擊者在專用網(wǎng)絡(luò)中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

【參考文獻(xiàn)】

[1] 胡曉曄. 淺談路由器的原理及應(yīng)用[J]. 電腦知識與技術(shù)， 2010，27.

[2] 田 源. 關(guān)于路由器的網(wǎng)絡(luò)技術(shù)的實用[J]. 消費(fèi)導(dǎo)刊， 2007，14.

[3] 李慧源. 淺談計算機(jī)網(wǎng)絡(luò)管理系統(tǒng)及故障[J]. 計量與測試技術(shù)， 2009，06.