路由器是网络互连的关键设备,其主要工作是为经过路由器的多个分组寻找一个最佳的传输路径,并将分组有效地传输到目的地。路由选择是根据一定的原则和算法在多结点的通信子网中选择一条从源结点到目的结点的最佳路径。当然,最佳路径是相对于几条路径中较好的路径而言的,一般是选择时延长、路径短、中间结点少的路径作为最佳路径。通过路由选择,可使网络中的信息流量得到合理的分配,从而减轻拥挤,提高传输效率。
(一)路由选择及协议
路由算法包括静态路由算法和动态路由算法。静态路由算法很难算得上是算法,只不过是开始路由前由网管建立的映射表。这些映射关系是固定不变的。使用静态路由的算法较容易设计,在简单的网络中使用比较方便。由于静态路由算法不能对网络改变做出反应,因此其不适用于现在的大型、易变的网络。动态路由算法根据分析收到的路由更新信息来适应网络环境的改变。如果分析到网络发生了变化,路由算法软件就重新计算路由并发出新的路由更新信息,这样就会促使路由器重新计算并对路由表做相应的改变。
在路由器上利用路由选择协议主动交换路由信息,建立路由表并根据路由表转发分组。通过路由选择协议,路由器可动态适应网络结构的变化,并找到到达目的网络的最佳路径。静态路由算法在网络业务量或拓扑结构变化不大的情况下,才能获得较好的网络性能。在现代网络中,广泛采用的是动态路由算法。在动态路由选择算法中,分布式路由选择算法是很优秀的,并且得到了广泛的应用。在该类算法中,最常用的是距离向量路由选择(DVR)算法和链路状态路由选择(LSR)算法。前者经过改进,成为目前应用广泛的路由信息协议(RIP),后者则发展成为开放式最短路径优先(OSPF)协议。
(二)ACL
ACL(路由器访问控制列表)是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上应用,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL支持。在其他厂商的路由器或多层交换机上也提供类似技术,但名称和配置方式可能会有细微的差别。
ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。ACL在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管理员限制网络流量,也可以控制用户和设备对网络的使用。它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。
ACL有标准ACL和扩展ACL两种。标准ACL把源地址、目的地址及端口号作为数据包检查的基本元素,并规定符合条件的数据包是否允许通过,其使用的局限性大,其序列号是1~99。扩展ACL能够检查可被路由的数据包的源地址和目的地址,同时还可以检查指定的协议、端口号和其他参数,具有配置灵活、控制精确的特点,其序列号是100~199。
这两种类型的ACL都可以基于序列号和命名进行配置。最好使用命名方法配置ACL,这样对以后的修改是很方便的。配置ACL要注意两点:一是ACL只能过滤流经路由器的流量,对路由器自身发出的数据包不起作用;二是一个ACL中至少有一条允许语句。
ACL的主要作用就是一方面保护网络资源,阻止非法用户对资源的访问,另一方面限制特定用户所能具备的访问权限。它通常应用在企业内部网的出口控制上,通过实施ACL,可以有效地部署企业内部网的出口策略。随着企业内部网资源的增加,一些企业已开始使用ACL来控制对企业内部网资源的访问,进而保障这些资源的安全性。
(三)路由器安全
1.用户口令安全
路由器有普通用户和特权用户之分,口令级别有十多种。如果使用明码在浏览或修改配置时容易被其他无关人员窥视到。可在全局配置模式下使用service password-encryption命令进行配置,该命令可将明文密码变为密文密码,从而保证用户口令的安全。该命令具有不可逆性,即它可将明文密码变为密文密码,但不能将密文密码变为明文密码。
2.配置登录安全
路由器的配置一般有控制口(Console)配置、Telnet配置和SNMP配置三种方法。控制口配置主要用于初始配置,使用中英文终端或Windows的超级终端;Telnet配置方法一般用于远程配置,但由于Telnet是明文传输的,很可能被非法窃取而泄露路由器的特权密码,从而会影响安全;SNMP的配置则比较麻烦,故使用较少。
为了保证使用Telnet配置路由器的安全,网络管理员可以采用相应的技术措施,仅让路由器管理员的工作站登录而不让其他机器登录到路由器,可以保证路由器配置的安全。
使用IP标准访问列表控制语句,在路由器的全局配置模式下,输入:
#access-list20permithost192.120.12.20
该命令表示只允许IP为192.120.12.20的主机登录到路由器。为了保证192.120.12.20这一IP地址不被其他机器假冒,可以在全局配置模式下输入:
#arp192.120.12.20xxxx.xxxx.xxxxarpa(www.xing528.com)
此命令可将该IP地址与其网卡物理地址绑定,xxxx.xxxx.xxxx为机器的网卡物理地址。这样就可以保证在用Telnet配置路由器时不会泄露路由器的口令。
3.路由器访问控制安全策略
在利用路由器进行访问控制时可考虑如下安全策略。
(1)严格控制可以访问路由器的管理员;对路由器的任何一次维护都需要记录备案,要有完备的路由器的安全访问和维护记录日志。
(2)建议不要远程访问路由器。若需要远程访问路由器,则应使用访问控制列表和高强度的密码控制。
(3)要严格地为IOS做安全备份,及时升级和修补IOS软件,并迅速为IOS安装补丁。
(4)要为路由器的配置文件做安全备份。
(5)为路由器配备UPS设备,或者至少要有冗余电源。
(6)为进入特权模式设置强壮的密码,可采用enable secret(不要采用enable password)命令进行设置,并且启用Service password-encryption,操作如下。
Router(config)#service password-encryption
Router(config)=enable secret
(7)如果不使用AUX端口,则应禁止该端口,使用如下命令即可(默认时未被启用)。
Router(config)#line aux O
Router(config-line)#transport input none
Router(config-line)#no exec
(8)若要对权限进行分级,采用权限分级策略,可进行如下操作。
Router(Config)#username test privilege 10 xxxx
Router(Config)#privilege EXEC leve l10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。