隨著信息技術(shù)的發(fā)展,世界經(jīng)濟正在走向信息化、全球化和市場化的同時,企業(yè)信息化也在不段更新發(fā)展,各個企業(yè)為了在競爭中取得成功,正在不斷地利用現(xiàn)代網(wǎng)絡(luò)技術(shù)和先進(jìn)的網(wǎng)絡(luò)設(shè)備,構(gòu)建企業(yè)管理辦公系統(tǒng)和電子商務(wù)網(wǎng)站,實現(xiàn)企業(yè)高效率的運作,實踐現(xiàn)代經(jīng)營理念和經(jīng)營策略。在這樣的大背景之下,建設(shè)企業(yè)的局域網(wǎng)便成為了現(xiàn)代企業(yè)的一項迫切的任務(wù)。
在企業(yè)局域網(wǎng)中,路由器是最常見的也是非常重要的設(shè)備。本文重點介紹路由器在局域網(wǎng)中的應(yīng)用。
一、路由器用于分隔子網(wǎng)
在企業(yè)局域網(wǎng)內(nèi)部,路由器的主要作用之一是分隔子網(wǎng),同時隔離子網(wǎng)之間的廣播。早期的企業(yè)局域網(wǎng)中,所有主機處于同一邏輯網(wǎng)絡(luò)中。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴大,局域網(wǎng)演變成以高速主干和路由器聯(lián)接的多個子網(wǎng)所組成的園區(qū)網(wǎng),也就是說這樣的局域網(wǎng)已經(jīng)是立體層次結(jié)構(gòu)了。這若干個子網(wǎng)在邏輯上獨立,而路由器就是惟一能夠分隔它們的設(shè)備。
路由器負(fù)責(zé)子網(wǎng)間的報文轉(zhuǎn)發(fā),根據(jù)路由協(xié)議算法產(chǎn)生多條路由,而且能為不同的網(wǎng)絡(luò)應(yīng)用選擇各自不同的最佳路由。
路由器還負(fù)責(zé)子網(wǎng)間的廣播隔離。路由器每一端口聯(lián)接一個子網(wǎng),不同的端口屬于不同的廣播域,某一個端口的廣播報文不能經(jīng)過路由器廣播出去擴散到整個企業(yè)局域網(wǎng)。這樣既做到了信息保密,也能隔離某些病毒發(fā)起的廣播攻擊。
在實際應(yīng)用中,我們可以將路由器的不同端口用于聯(lián)接不同的企業(yè)部門(即同一部門的設(shè)備全部連接在路由器的同一端口下)。
二、路由器用于VLAN間的通信
為了更好地管理局域網(wǎng),可以在局域網(wǎng)中劃分VLAN.VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”,是將局域網(wǎng)設(shè)備從邏輯上劃分(不是從物理上劃分)成一個個網(wǎng)段,從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。如果沒有路由的話,不同VLAN之間是不能相互通信的,這樣增加了企業(yè)局域網(wǎng)的安全性。如果需要在不同VLAN間通信,可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。
三。路由器作為局域網(wǎng)出口
路由器可以作為企業(yè)局域網(wǎng)聯(lián)入廣域網(wǎng)的接口。目前的企業(yè)可以選擇多廣域網(wǎng)(WAN)端口路由器,這樣的路由器允許局域網(wǎng)共享多條外線。它的好處有:
1.增加局域網(wǎng)出口帶寬。用戶可以多申請幾條寬帶線路,負(fù)載在這些端口之間均衡,就相當(dāng)于出口帶寬擴展了幾倍。由于每條寬帶線路的費用不高,對于較大的局域網(wǎng)也是很經(jīng)濟的。
2.線路備份。可以在不同的WAN口上選擇不同的ISP(InternetService Provider)。如果某個ISP,某條線路出現(xiàn)故障時,可以把數(shù)據(jù)流量重新分配到?jīng)]有故障的端口上,整個網(wǎng)絡(luò)還能正常運行。
3.享受更多的內(nèi)容服務(wù)。不同的ISP提供不同的服務(wù),例如游戲,視頻點播等。多個WAN口聯(lián)接多個ISP,就可以享受這些服務(wù)。
多WAN口對路由器的硬件要求比較高,軟件就更是復(fù)雜。但是對于現(xiàn)在那些信息化程度較高的企業(yè)局域網(wǎng)及電子商務(wù)網(wǎng)站來說,網(wǎng)絡(luò)業(yè)務(wù)必須是非常可靠,須臾都不能離開的。所以多WAN口路由器是有它的優(yōu)勢的。
四、路由器的安全防御功能
局域網(wǎng)出口路由器一般處在防火墻的外部,負(fù)責(zé)聯(lián)入廣域網(wǎng)。此時路由器自身的安全防御就顯得非常重要,否則就可能被攻擊者利用進(jìn)而威脅到局域網(wǎng)。所以一定要對路由器進(jìn)行合理的配置,使路由器成為局域網(wǎng)抵御外部攻擊的第一條防線。
1.防止外部IP地址欺騙。外部網(wǎng)絡(luò)的非法用戶可以將自己的IP地址改成內(nèi)部網(wǎng)絡(luò)的合法IP地址或回環(huán)地址,從而獲得對扃域網(wǎng)的非法訪問權(quán)限。所以要禁止源地址為私有地址,回環(huán)地址,多目的地址,以及沒有列出源地址的所有數(shù)據(jù)流。
2.防止外部非法探測。非法訪問者在對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊之前,常常使用ping命令或其他命令探測網(wǎng)絡(luò),所以要禁止從外部使用這些命令。一般情況下是阻止答復(fù)的輸出,而不阻止探測的進(jìn)入。
3.保護(hù)路由器不受攻擊。路由器可以通過Telnet或SNMP進(jìn)行訪問,應(yīng)該確保Internet上沒有人能用這些協(xié)議攻擊路由器,所以需要在路由器的內(nèi)部端口和外部端口上禁止這些訪問。
4.阻止對關(guān)鍵端口的非法訪問。關(guān)鍵端口是指內(nèi)部系統(tǒng)所使用的端口或者是防火墻本身暴露的端口。必須對關(guān)鍵端口的訪問加以限制,否則這些設(shè)備就很容易受到外部攻擊。
5.防止外部ICMP重定向欺騙。攻擊者可以利用ICMP重定向來對路由器進(jìn)行重定向,將本應(yīng)送到內(nèi)部正確目標(biāo)的數(shù)據(jù)重定向到它們所指定的設(shè)備,從而獲得有用信息。防范的命令是:no.ipredirects.
6.防止外部源路由欺騙。源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進(jìn)行路由選擇,該技術(shù)可以使入侵者為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由,這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報就會被送到入侵者指定的地址。禁止使用源路由的命令是:noip source-route.
7.防止盜用內(nèi)部IP地址。攻擊者可以盜用內(nèi)部IP地址進(jìn)行非法訪問。而我們可以在局域網(wǎng)內(nèi)將MAC地址與IP地址進(jìn)行綁定來解決這個問題。具體命令是:arp固定IP地址MAC地址arpa.
路由器還有很多其他的安全防范的命令和措施,這里就不再贅述。路由器在使用了上述安全措施之后,可以有效的提高整個局域網(wǎng)的安全性。但需要指出的是,這些措施的使用既占用了路由器的資源,也耽誤了時間,從而犧牲了局域網(wǎng)的效率,會造成局域網(wǎng)對外部網(wǎng)絡(luò)訪問速度下降。
五。路由器的網(wǎng)絡(luò)管理功能
路由器的網(wǎng)絡(luò)管理功能比較多,這里重點講述3個功能。
1.利用MAC地址管理局域網(wǎng)用戶。每個局域網(wǎng)用戶網(wǎng)卡的MAC地址是固定不變的,所以通過用戶的MAC地址對他們進(jìn)行訪問控制,設(shè)置權(quán)限。這個功能可以通過路由器自帶的“MAC地址控制”功能靈活實現(xiàn)。比如可以將網(wǎng)卡的MAC地址與IP地址綁定,這樣就保證在其他軟件或硬件的安全設(shè)置項中進(jìn)行的設(shè)置不會由于用戶隨意更改IP而失去控制作用。再比如可以通過MAC地址設(shè)置控制用戶上網(wǎng)的權(quán)限或控制用戶對共享設(shè)備的使用權(quán)限,這樣可以減少共享設(shè)備的負(fù)擔(dān),減少企業(yè)上網(wǎng)的費用。
2.利用封包過濾功能管理局域網(wǎng)用戶。網(wǎng)絡(luò)管理者可以對局域網(wǎng)流入和流出的數(shù)據(jù)包進(jìn)行過濾以實現(xiàn)某些網(wǎng)管策略。管理者可以指定每一條管理規(guī)則的有效時間,比如所有主機在上班時間只能收發(fā)郵件但不能瀏覽網(wǎng)頁等。再比如禁止所有主機使用QQ,禁止所有主機訪問特定IP地址的網(wǎng)站,禁止部分IP地址的主機上網(wǎng),禁止部分IP地址的主機的某些服務(wù)等等。這些功能都非常實用和有效,可以在路由器的設(shè)置界面中進(jìn)行選擇和設(shè)置。
3.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能。由于1P地址短缺的情況日益嚴(yán)重,一個企業(yè)申請的合法的Internet的lP地址很少,而內(nèi)部網(wǎng)絡(luò)用戶很多。可以通過路由器的NAT功能實現(xiàn)多個用戶同時公用若干個合法IP與外部Internet進(jìn)行通信。另一方面企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu),可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部tnternet隔離開,外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。
除了以上介紹的功能之外,路由器還有配置管理,性能管理,容錯管理和流量控制等功能。
路由器在局域網(wǎng)中起著非常重要的作用,可是卻有速度和價格上的劣勢。但是綜合考慮網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全,線路情況,網(wǎng)絡(luò)建設(shè)投資、網(wǎng)絡(luò)管理投資等多種因素,由路由器組成企業(yè)局域網(wǎng)還是具有較大優(yōu)勢的一種組網(wǎng)方式。
京公網(wǎng)安備 11010502049343號