在配置路由器之前,我们要知道路由器是信息网络中实现网络互联的关键设备。它将不同网络或网段之间的数据信息进行翻译,实现网络互联和资源共享。我们来看看路由器的快速配置方法:
堵住安全漏洞
和路由器电脑等网络设备一样,本身也存在一些缺陷和漏洞。利用路由器自身的缺点攻击网络是黑客常用的手段。因此,我们必须采取必要的措施来堵塞路由器的安全漏洞。限制系统的物理访问是最有效的方法之一。它配置控制台和终端会话路由器在短暂的空闲时间后自动退出系统,从而堵住路由器的安全漏洞,保护整个网络的安全。此外,避免将调制解调器连接到路由器的辅助端口。
避免身份危机
黑客经常使用弱密码或默认密码进行攻击。延长密码有助于抵御此类攻击。当网管调职或退出本岗位时,应立即更改密码。此外,应开启路由器的密码加密功能。在大多数路由器上,可以配置一些协议,比如远程认证拨入用户服务,结合认证服务器提供加密认证的路由器访问,加强路由器的安全系数,提高整个网络的安全性。
限制逻辑访问
限制逻辑访问,主要通过合理处置访问控制列表来限制远程终端会话,这有助于防止黑客获得对系统的逻辑访问。SSH是首选的逻辑访问方法,但是如果无法避免TELNET,可以使用终端访问控制来限制对可信主机的访问。因此,有必要在路由器上为TELNET使用的虚拟终端端口添加访问列表。
控制消息协议ICMP有助于故障排除,但它也为攻击者提供了浏览网络设备、确定时间戳和网络掩码以及猜测OS修订版本的信息。为了防止黑客收集上述信息,只允许以下类型的ICMP流量进入网络:ICMP网络无法到达的流量、主机无法到达的流量、端口无法到达的流量、过大的流量、源抑制的流量和超过生存时间(TTL)的流量。此外,逻辑访问控制应该禁止除ICMP流量之外的所有流量。
使用入站访问控制,您可以将特定服务器引导到相应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DNS服务器;HTTP(HTTPS)流量通过安全套接字协议层(SSL)进入web服务器。为了避免路由器成为DoS攻击的目标,应该拒绝以下流量:没有IP地址的数据包,具有本地主机地址、广播地址、组播地址和任何伪造内部地址的数据包。您还可以采取措施,如增加SYM ACK队列的长度和缩短ACK超时时间,以保护路由器免受TCP SYN攻击。
监控路由器配置更改
当路由器配置发生变化时,需要对其进行监控。如果使用SNMP,一定要选择功能强大的常用字符串,最好使用提供消息加密的SNMP。如果设备被配置为没有SNMP管理的远程路由器,最好将SNMP设备路由器配置为只读,并拒绝对这些设备的写访问。这样可以防止黑客更改或关闭界面。此外,系统日志信息应该从路由器发送到指定的服务器。同时,为了进一步保证安全管理,还可以使用SSH等加密机制与路由器建立加密的远程会话。
实施路由器配置管理。
配置的一个重要部分是确保网络使用合理的路由器协议,避免使用路由信息协议(RIP)。因为RIP很容易被欺骗,所以它接受非法的路由更新。因此,需要对路由器配置的存储、检索和更新进行控制,以便在新配置出现问题时,可以替换、重装或恢复到原来的路由器配置。
1.路由器的体系结构
图1显示了一个通用路由器的逻辑架构。它主要由以下几个部分组成:路由引擎、转发引擎、路由表、网络适配器以及相关的逻辑电路。转发引擎负责将数据包从一个网络适配器转发到另一个网络适配器。IP协议,包括路由表的查找,构成了转发引擎最重要的部分。因为每一个经过路由器并需要由其转发的数据包都要查找路由表,所以查找路由表的效率往往决定了整个路由器的性能。路由引擎包括高层协议,尤其是负责更新路由表的路由协议。因为路由引擎不涉及通过路由器的数据路径,所以可以用通用CPU代替。
2.硬件路由表的数据结构设计。
一般来说,路由器中路由表的每一项至少包含以下信息:目标地址、网络密码和下一跳地址。如果每个IP地址都有一个条目,占用了大量的2323*4字节内存,肯定有很多条目没有被使用,会造成极大的资源浪费。
为了通过硬件找到路由表,搜索算法需要满足以下条件:
1)可以实时搜索路由表;
2)路由表的有效插入和删除;
3)提供有效的最长前缀匹配;
4)良好的可扩展性;
5)支持广播和组播;
6)有效利用内存;
7)易于硬件实现,性能良好。
我们来考虑一下,如果在路由表的查找中将子网密码和IP地址结合起来,对IP地址进行相应的分段,并将它们连接起来。这样路由表的条目中只包含IP地址的一部分及其对应的密码,可以达到很好的可扩展性。只要有效地管理内存,就可以灵活动态地实现路由的插入和删除。鉴于此,我们设计了这个表的结构(如下表1所示):
单击查看大图
其思路是:32位IPv4地址主要分为4部分,每部分8位。在该结构中,地址部分[0-4]是IP地址的一部分,掩码部分[0-4]是相应的掩码部分。Hit-next[0-4]是当要找到的目的IP地址与掩码部分的阶段之后的地址部分一致时,指向要找到的下一个路由项目的地址的指针。Miss-hit[0-4]是当它们彼此不一致时指向下一个路由项的地址的指针。移位位用于确定IP地址中的后8位是否需要查找和判断。仅当当前8位IP地址与目标地址中对应的8位一致时,才会设置该位。停止位用于确定是否仍然需要搜索。它在IP地址查找结束时设置,或者当没有比对应于当前条目的IP地址更长的路由表条目时设置。
图2是表1的一个例子:
在本例中,每个框中的上面一行表示相应的IP地址部分和密码部分。下面一行代表相关密码部分的二进制表示。相应的搜索算法如下:
/*搜索算法开始*/
search=TRUE
WHILE(搜索)
{
masked_key=key(条目-掩码_部分);
结果=(条目地址部分)==屏蔽密钥
IF ( result==TRUE ) {
最佳匹配=条目;
entry entry=entry-hit _ next;
} ELSE { entry entry=entry-miss _ next;
IF(entry-stop==TRUE)search=FALSE;
}
}
返回best _ match
/*搜索算法结束*/
为了实现有效的插入和删除,我们必须在路由表的数据结构中添加几个额外的字段:父指针(指向该节点的父节点)、routeinformation(路由信息)等。它们的目的是在路由表的查找过程中,尤其是指针回滚中,大大节省查找时间。因为IP路由的插入和删除很复杂。我们只需要给出一个粗略的解释。
IP插入:
/*插入算法开始*/
/*首先用上面提到的搜索算法找出最佳匹配*/
best_match=search(新条目);
/*确保那些需要添加的路由没有被最佳匹配包括*/
for(count=first _ unmatched _ bit;count=sizeof(new _ entry);
count=sizeof ( address_part ) {
/*创建新节点*/
创建新节点;
/*将此节点连接到best_match的hit _ next */
将节点链接到最佳匹配的命中分支;
}
/*插入算法结束*/
IP的删除应该在几种情况下讨论。例如,best_match是叶节点,best_match的hit_next指针为空,best_match的miss_next指针为空,hit_next指针和miss_next指针都不为空。这里就不讨论了。此外,配置文件可以通过两种方法存储在支持命令行接口(CLT)的路由器平台上。一种是运行脚本,可以在路由器配置服务器和路由器之间建立SSH会话,登录系统,关闭控制器的日志功能,显示配置,将路由器配置保存到本地文件,退出系统。另一种是在路由器配置服务器和路由器之间建立IPSEC隧道,在安全隧道中通过TFTP将路由器配置文件复制到服务器。同时也要明确谁可以更改路由器配置,何时更改,如何更改,在进行任何更改之前,制定详细的反向操作流程。
通过以上内容你应该知道路由器配置的方法。这些都是基础知识,很容易掌握。希望读者能掌握。
