路由器的工作原理与安全维护

徐建忠

摘要：路由器是一种可以连接多个网段的网络设备，它能够快速的选择最优的信息传送线路，从而使网络设备发挥出更大的作用,同时路由器是也是网络系统中的关键互联设备,提高路由器自身的安全对于整个网络的安全有着非常重要的作用。

关键词：网络；路由器；安全维护

中图分类号：TB文献标识码：A文章编号：16723198（2014）14018101

随着互联网的发展，本地网络信息已经远远不能满足人们的需求了，为了能够最大限度地使用不同地区、不同类型的网络资源，路由器已经成为我们日常生活工作中一个必不可少的网络设备。目前，无论是校园网还是企业网，无论采用的什么技术，都与路由器分不开，否则就无法进行正常的运作和管理。

1路由器的基本工作原理

网络中的设备相互通信主要是用它们的IP地址，路由器只能根据具体的IP地址来转发数据。IP地址由网络地址和主机地址两部分组成。在Internet中采用的是由子网掩码来确定网络地址和主机地址。子网掩码与IP地址一样都是32位的，并且这两者是一一对应的，子网掩码中“1”对应IP地址中的网络地址，“0”对应的是主机地址，网络地址和主机地址就构成了一个完整的IP地址。在同一个网络中，IP地址的网络地址必须是相同的。计算机之间的通信只能在具有相同网络地址的IP地址之间进行，如果想要与其他网段的计算机进行通信，则必须经过路由器转发出去。不同网络地址的IP地址是不能直接通信的，即便它们距离非常近，也不能进行通信。路由器的多个端口可以连接多个网段，每个端口的IP地址的网络地址都必须与所连接的网段的网络地址一致。不同的端口它的网络地址是不同的，所对应的网段也是不同的，这样才能使各个网段中的主机通过自己网段的IP地址把数据发送送到路由器上。

2路由器的功能

一个路由动作包含两个基本内容：寻径和转发。寻径就是在互连网络中从多条路径中选择一条到达目的地最佳的网络路径提供给用户，这是通过路由选择算法来实现的。为了选择最优的网络路径，路由选择算法需要初始化和维护包含路由信息的路由表，其中路由信息根据路由选择算法决定其内容，它是不同的。路由选择算法会把不同的路由信息填入的路由表中，根据路由表把相关内容告诉路由器。路由器间通过通信进行路由更新，使路由表能反映网络的拓扑变化，并由路由器根据决定最佳路径。转发就是沿着寻径好的最佳路径把信息传出去。路由器会首先通过路由表判断是否知道如何发送分组，如果路由器不知道，通常会把该分组丢弃；如果知道，就会根据路由表的相关表项把分组发送到下一个站点，如果路由器是直接与目的网络相连的，路由器就会在相应端口上发送分组，这就是路由转发协议。路由转发协议和路由选择协议这两者既有联系又有区别，前者是使用后者来对路由表进行维护的，后者又要利用前者来发布路由协议数据分组。

3路由选择方式和路由算法

路由选择方式分为静态路由和动态路由两种。静态路由是指路由器中的路由表是固定的，除非人为设置，否则静态路由是不会发生变化的。由于静态路由不会因为网络的改变而变化，一般情况下用于网络规模较小、网络拓扑单一的网络中。静态路由的优点是实现简单、效率高、传输可靠。如果动态路由与静态路由发生冲突，以静态路由为准。动态路由会随着路由表信息的变化发生改变，它能及时地对网络结构的变化做出反应。如果路由信息显示网络有变化，路由选择软件会重新计算路由，并对路由表信息进行更新，这些信息可以动态地反映出网络拓扑变化。动态路由一般适用于网络规模较大、网络拓扑比较复杂的网络中。由于静态路由和动态路由各有各的特点及使用范围，因此在一般的网络中动态路由通常作为静态路由的补充来使用。常见的两个动态路由算法有距离矢量算法和链路状态算法。距离向量算法是相邻的路由器交换路由表全部或部分信息，然后进行矢量相加来获取整个路由表，最后通过路由表找到一条数据交换的最佳路径。距离矢量算法尽管实现及管理比较简单，但它速度慢，占用的网络资源较多。链路状态算法是把路由信息发送到网络上的所有点，然后对每个路由器收集链路状态信息，生成网络拓扑结构图计算出路由。每个路由器仅发送其路由表中关于自身链路状态的信息，这种算法并不是一个简单的从邻近路由器上获取路由表来计算路由的一个算法。链路状态算法只是将少量更新信息发送到网络中各个点，因此速度更快，而且不容易发生路由循环。但是，链路状态算法比距离向量算法要求有更快的的CPU处理能力及更大的内存空间，因此实现起来费用更昂贵些。

4路由器的安全维护

现在网络上经常有人利用路由器的安全漏洞对路由器发起攻击，造成网络异常甚至瘫痪，因此，我们必须采取一些的安全措施对路由器进行维护。下面介绍一些常用的安全维护措施：

(1)路由器口令不能随便泄漏，要使用安全级别高的口令。据统计，85%的针对路由器的攻击事件都是由于口令泄漏或薄弱的口令引起的。黑客通常会利用弱口令或者默认的口令进行攻击。使用复杂的口令及设置口令有效期等措施可以有效的防止这类攻击的发生。

(2)把一些不常用的本地服务禁用。为了使路由器更加安全，需要把一些不必要的本地服务禁用，一些用户很少用到的本地服务例如SNMP和DHCP等都可以禁用，当需要的时候把再把相关的服务启用就可以。

(3)加强路由器的安全防范。由于路由器控制端口是具有特殊权限，如果攻击者直接接触路由器后，对其进行断电重启，然后把密码重置，这样就可以轻松登录路由器，将路由器控制，因此，我们必须加强对路由器的防范。

(4)为路由器增加协议认证功能，提高网络的安全性。路由器的一个非常重要的功能是路由的管理和维护。目前大部分的网络都采用了动态路由协议，如果一台路由器，它设置了相同的路由协议和相同的区域标识符，当它加入到网络中后就会获取网络上的路由信息表，这就有可能导致网络拓扑信息的泄漏。如果该路由器向网络发送自己的路由信息表，也可能使网络上正常工作的路由信息表发生混乱，导致整个网络瘫痪。解决这个问题的方法就是对网络内的路由器增加路由信息认证功能，当路由器设置了路由信息认证方式后，它就会鉴别路由信息的接收方和发送方。通常有两种鉴别方式：纯文本方式和MD5方式，由于纯文本方式安全性低，所以一般使用MD5方式。

(5)对路由器设置进行监控。用户在对路由器设置后，要对路由器的设置进行监控。现在SNMP广泛应用在路由器的监控、配置方面。如果用户使用SNMP，最好使用提供消息加密功能的SNMP。如果不通过SNMP对路由器进行配置，要把SNMP设成为只读，这样就能有效阻止黑客对端口进行改动或关闭。

总之，路由器是网络中一个不可缺少的关键性设备，它的安全问题需要我们特别重视，我们在了解路由器工作原理的基础上对路由器进行合理规划和配置，采取一些必要的安全维护措施，尽量避免由于路由器本身的安全问题而给整个网络系统带来危险。

参考文献

［1］徐菲.路由器的安全配置与安全维护分析［J］.信息与电脑(理论版)，2013，(02).

［2］李永亮.路由选择算法浅析［J］.电脑学习，2003，(05).