路由器的工作原理與安全維護

徐建忠

摘要：路由器是一種可以連接多個網(wǎng)段的網(wǎng)絡設(shè)備，它能夠快速的選擇最優(yōu)的信息傳送線路，從而使網(wǎng)絡設(shè)備發(fā)揮出更大的作用,同時路由器是也是網(wǎng)絡系統(tǒng)中的關(guān)鍵互聯(lián)設(shè)備,提高路由器自身的安全對于整個網(wǎng)絡的安全有著非常重要的作用。

關(guān)鍵詞：網(wǎng)絡；路由器；安全維護

中圖分類號：TB文獻標識碼：A文章編號：16723198（2014）14018101

隨著互聯(lián)網(wǎng)的發(fā)展，本地網(wǎng)絡信息已經(jīng)遠遠不能滿足人們的需求了，為了能夠最大限度地使用不同地區(qū)、不同類型的網(wǎng)絡資源，路由器已經(jīng)成為我們?nèi)粘Ｉ罟ぷ髦幸粋€必不可少的網(wǎng)絡設(shè)備。目前，無論是校園網(wǎng)還是企業(yè)網(wǎng)，無論采用的什么技術(shù)，都與路由器分不開，否則就無法進行正常的運作和管理。

1路由器的基本工作原理

網(wǎng)絡中的設(shè)備相互通信主要是用它們的IP地址，路由器只能根據(jù)具體的IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址由網(wǎng)絡地址和主機地址兩部分組成。在Internet中采用的是由子網(wǎng)掩碼來確定網(wǎng)絡地址和主機地址。子網(wǎng)掩碼與IP地址一樣都是32位的，并且這兩者是一一對應的，子網(wǎng)掩碼中“1”對應IP地址中的網(wǎng)絡地址，“0”對應的是主機地址，網(wǎng)絡地址和主機地址就構(gòu)成了一個完整的IP地址。在同一個網(wǎng)絡中，IP地址的網(wǎng)絡地址必須是相同的。計算機之間的通信只能在具有相同網(wǎng)絡地址的IP地址之間進行，如果想要與其他網(wǎng)段的計算機進行通信，則必須經(jīng)過路由器轉(zhuǎn)發(fā)出去。不同網(wǎng)絡地址的IP地址是不能直接通信的，即便它們距離非常近，也不能進行通信。路由器的多個端口可以連接多個網(wǎng)段，每個端口的IP地址的網(wǎng)絡地址都必須與所連接的網(wǎng)段的網(wǎng)絡地址一致。不同的端口它的網(wǎng)絡地址是不同的，所對應的網(wǎng)段也是不同的，這樣才能使各個網(wǎng)段中的主機通過自己網(wǎng)段的IP地址把數(shù)據(jù)發(fā)送送到路由器上。

2路由器的功能

一個路由動作包含兩個基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。尋徑就是在互連網(wǎng)絡中從多條路徑中選擇一條到達目的地最佳的網(wǎng)絡路徑提供給用戶，這是通過路由選擇算法來實現(xiàn)的。為了選擇最優(yōu)的網(wǎng)絡路徑，路由選擇算法需要初始化和維護包含路由信息的路由表，其中路由信息根據(jù)路由選擇算法決定其內(nèi)容，它是不同的。路由選擇算法會把不同的路由信息填入的路由表中，根據(jù)路由表把相關(guān)內(nèi)容告訴路由器。路由器間通過通信進行路由更新，使路由表能反映網(wǎng)絡的拓撲變化，并由路由器根據(jù)決定最佳路徑。轉(zhuǎn)發(fā)就是沿著尋徑好的最佳路徑把信息傳出去。路由器會首先通過路由表判斷是否知道如何發(fā)送分組，如果路由器不知道，通常會把該分組丟棄；如果知道，就會根據(jù)路由表的相關(guān)表項把分組發(fā)送到下一個站點，如果路由器是直接與目的網(wǎng)絡相連的，路由器就會在相應端口上發(fā)送分組，這就是路由轉(zhuǎn)發(fā)協(xié)議。路由轉(zhuǎn)發(fā)協(xié)議和路由選擇協(xié)議這兩者既有聯(lián)系又有區(qū)別，前者是使用后者來對路由表進行維護的，后者又要利用前者來發(fā)布路由協(xié)議數(shù)據(jù)分組。

3路由選擇方式和路由算法

路由選擇方式分為靜態(tài)路由和動態(tài)路由兩種。靜態(tài)路由是指路由器中的路由表是固定的，除非人為設(shè)置，否則靜態(tài)路由是不會發(fā)生變化的。由于靜態(tài)路由不會因為網(wǎng)絡的改變而變化，一般情況下用于網(wǎng)絡規(guī)模較小、網(wǎng)絡拓撲單一的網(wǎng)絡中。靜態(tài)路由的優(yōu)點是實現(xiàn)簡單、效率高、傳輸可靠。如果動態(tài)路由與靜態(tài)路由發(fā)生沖突，以靜態(tài)路由為準。動態(tài)路由會隨著路由表信息的變化發(fā)生改變，它能及時地對網(wǎng)絡結(jié)構(gòu)的變化做出反應。如果路由信息顯示網(wǎng)絡有變化，路由選擇軟件會重新計算路由，并對路由表信息進行更新，這些信息可以動態(tài)地反映出網(wǎng)絡拓撲變化。動態(tài)路由一般適用于網(wǎng)絡規(guī)模較大、網(wǎng)絡拓撲比較復雜的網(wǎng)絡中。由于靜態(tài)路由和動態(tài)路由各有各的特點及使用范圍，因此在一般的網(wǎng)絡中動態(tài)路由通常作為靜態(tài)路由的補充來使用。常見的兩個動態(tài)路由算法有距離矢量算法和鏈路狀態(tài)算法。距離向量算法是相鄰的路由器交換路由表全部或部分信息，然后進行矢量相加來獲取整個路由表，最后通過路由表找到一條數(shù)據(jù)交換的最佳路徑。距離矢量算法盡管實現(xiàn)及管理比較簡單，但它速度慢，占用的網(wǎng)絡資源較多。鏈路狀態(tài)算法是把路由信息發(fā)送到網(wǎng)絡上的所有點，然后對每個路由器收集鏈路狀態(tài)信息，生成網(wǎng)絡拓撲結(jié)構(gòu)圖計算出路由。每個路由器僅發(fā)送其路由表中關(guān)于自身鏈路狀態(tài)的信息，這種算法并不是一個簡單的從鄰近路由器上獲取路由表來計算路由的一個算法。鏈路狀態(tài)算法只是將少量更新信息發(fā)送到網(wǎng)絡中各個點，因此速度更快，而且不容易發(fā)生路由循環(huán)。但是，鏈路狀態(tài)算法比距離向量算法要求有更快的的CPU處理能力及更大的內(nèi)存空間，因此實現(xiàn)起來費用更昂貴些。

4路由器的安全維護

現(xiàn)在網(wǎng)絡上經(jīng)常有人利用路由器的安全漏洞對路由器發(fā)起攻擊，造成網(wǎng)絡異常甚至癱瘓，因此，我們必須采取一些的安全措施對路由器進行維護。下面介紹一些常用的安全維護措施：

(1)路由器口令不能隨便泄漏，要使用安全級別高的口令。據(jù)統(tǒng)計，85%的針對路由器的攻擊事件都是由于口令泄漏或薄弱的口令引起的。黑客通常會利用弱口令或者默認的口令進行攻擊。使用復雜的口令及設(shè)置口令有效期等措施可以有效的防止這類攻擊的發(fā)生。

(2)把一些不常用的本地服務禁用。為了使路由器更加安全，需要把一些不必要的本地服務禁用，一些用戶很少用到的本地服務例如SNMP和DHCP等都可以禁用，當需要的時候把再把相關(guān)的服務啟用就可以。

(3)加強路由器的安全防范。由于路由器控制端口是具有特殊權(quán)限，如果攻擊者直接接觸路由器后，對其進行斷電重啟，然后把密碼重置，這樣就可以輕松登錄路由器，將路由器控制，因此，我們必須加強對路由器的防范。

(4)為路由器增加協(xié)議認證功能，提高網(wǎng)絡的安全性。路由器的一個非常重要的功能是路由的管理和維護。目前大部分的網(wǎng)絡都采用了動態(tài)路由協(xié)議，如果一臺路由器，它設(shè)置了相同的路由協(xié)議和相同的區(qū)域標識符，當它加入到網(wǎng)絡中后就會獲取網(wǎng)絡上的路由信息表，這就有可能導致網(wǎng)絡拓撲信息的泄漏。如果該路由器向網(wǎng)絡發(fā)送自己的路由信息表，也可能使網(wǎng)絡上正常工作的路由信息表發(fā)生混亂，導致整個網(wǎng)絡癱瘓。解決這個問題的方法就是對網(wǎng)絡內(nèi)的路由器增加路由信息認證功能，當路由器設(shè)置了路由信息認證方式后，它就會鑒別路由信息的接收方和發(fā)送方。通常有兩種鑒別方式：純文本方式和MD5方式，由于純文本方式安全性低，所以一般使用MD5方式。

(5)對路由器設(shè)置進行監(jiān)控。用戶在對路由器設(shè)置后，要對路由器的設(shè)置進行監(jiān)控?，F(xiàn)在SNMP廣泛應用在路由器的監(jiān)控、配置方面。如果用戶使用SNMP，最好使用提供消息加密功能的SNMP。如果不通過SNMP對路由器進行配置，要把SNMP設(shè)成為只讀，這樣就能有效阻止黑客對端口進行改動或關(guān)閉。

總之，路由器是網(wǎng)絡中一個不可缺少的關(guān)鍵性設(shè)備，它的安全問題需要我們特別重視，我們在了解路由器工作原理的基礎(chǔ)上對路由器進行合理規(guī)劃和配置，采取一些必要的安全維護措施，盡量避免由于路由器本身的安全問題而給整個網(wǎng)絡系統(tǒng)帶來危險。

參考文獻

［1］徐菲.路由器的安全配置與安全維護分析［J］.信息與電腦(理論版)，2013，(02).

［2］李永亮.路由選擇算法淺析［J］.電腦學習，2003，(05).