路由器中的硬件IP路由表应用解析

在配置路由器之前，我们要知道路由器是信息网络中实现网络互联的关键设备。它在不同的网络或网段之间“翻译”数据信息，实现网络互联和资源共享。我们来看看路由器的快速配置方法：

堵住安全漏洞

和路由器电脑等网络设备一样，本身也存在一些缺陷和漏洞。利用路由器自身的缺点攻击网络是黑客常用的手段。因此，我们必须采取必要的措施来堵塞路由器的安全漏洞。限制系统的物理访问是最有效的方法之一。它配置控制台和终端会话路由器在短暂的空闲时间后自动退出系统，从而堵住路由器的安全漏洞，保护整个网络的安全。此外，避免将调制解调器连接到路由器的辅助端口。

避免身份危机

黑客经常使用弱密码或默认密码进行攻击。延长密码有助于抵御此类攻击。当网管调职或退出本岗位时，应立即更改密码。此外，应开启路由器的密码加密功能。在大多数路由器上，可以配置一些协议，比如远程认证拨入用户服务，结合认证服务器提供加密认证的路由器访问，加强路由器的安全系数，提高整个网络的安全性。

限制逻辑访问

限制逻辑访问，主要通过合理处置访问控制列表来限制远程终端会话，这有助于防止黑客获得对系统的逻辑访问。SSH是首选的逻辑访问方法，但是如果无法避免TELNET，可以使用终端访问控制来限制对可信主机的访问。因此，有必要在路由器上为TELNET使用的虚拟终端端口添加访问列表。

控制消息协议ICMP有助于故障排除，但它也为攻击者提供了浏览网络设备、确定时间戳和网络掩码以及猜测OS修订版本的信息。为了防止黑客收集上述信息，只允许以下类型的ICMP流量进入网络：ICMP网络无法到达的流量、主机无法到达的流量、端口无法到达的流量、过大的流量、源抑制的流量和超过生存时间(TTL)的流量。此外，逻辑访问控制应该禁止除ICMP流量之外的所有流量。

使用入站访问控制，您可以将特定服务器引导到相应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DNS服务器；HTTP(HTTPS)流量通过安全套接字协议层(SSL)进入web服务器。为了避免路由器成为DoS攻击的目标，应该拒绝以下流量：没有IP地址的数据包，具有本地主机地址、广播地址、组播地址和任何伪造内部地址的数据包。您还可以采取措施，如增加SYM ACK队列的长度和缩短ACK超时时间，以保护路由器免受TCP SYN攻击。

监控路由器配置更改

当路由器配置发生变化时，需要对其进行监控。如果使用SNMP，一定要选择功能强大的常用字符串，最好使用提供消息加密的SNMP。如果设备被配置为没有SNMP管理的远程路由器，最好将SNMP设备路由器配置为只读，并拒绝对这些设备的写访问。这样可以防止黑客更改或关闭界面。此外，系统日志信息应该从路由器发送到指定的服务器。同时，为了进一步保证安全管理，还可以使用SSH等加密机制与路由器建立加密的远程会话。

实施路由器配置管理。

配置的一个重要部分是确保网络使用合理的路由器协议，避免使用路由信息协议(RIP)。因为RIP很容易被欺骗，所以它接受非法的路由更新。因此，需要对路由器配置的存储、检索和更新进行控制，以便在新配置出现问题时，可以替换、重装或恢复到原来的路由器配置。

1.路由器的体系结构

图1显示了一个通用路由器的逻辑架构。它主要由以下几个部分组成：路由引擎、转发引擎、路由表、网络适配器以及相关的逻辑电路。转发引擎负责将数据包从一个网络适配器转发到另一个网络适配器。IP协议，包括路由表的查找，构成了转发引擎最重要的部分。因为每一个经过路由器并需要由其转发的数据包都要查找路由表，所以查找路由表的效率往往决定了整个路由器的性能。路由引擎包括高层协议，尤其是负责更新路由表的路由协议。因为路由引擎不涉及通过路由器的数据路径，所以可以用通用CPU代替。

2.硬件路由表的数据结构设计。

一般来说，路由器中路由表的每一项至少包含以下信息：目标地址、网络密码和下一跳地址。如果每个IP地址都有一个条目，占用了大量的2323*4字节内存，肯定有很多条目没有被使用，会造成极大的资源浪费。

为了通过硬件找到路由表，搜索算法需要满足以下条件：

1)可以实时搜索路由表；

2)路由表的有效插入和删除；

3)提供有效的最长前缀匹配；

4)良好的可扩展性；

5)支持广播和组播；

6)有效利用内存；

7)易于硬件实现，性能良好。

我们来考虑一下，如果在路由表的查找中将子网密码和IP地址结合起来，对IP地址进行相应的分段，并将它们连接起来。这样路由表的条目中只包含IP地址的一部分及其对应的密码，可以达到很好的可扩展性。只要有效地管理内存，就可以灵活动态地实现路由的插入和删除。鉴于此，我们设计了这个表的结构(如下表1所示):

单击查看大图

其思路是：32位IPv4地址主要分为4部分，每部分8位。在该结构中，地址部分[0-4]是IP地址的一部分，掩码部分[0-4]是相应的掩码部分。Hit-next[0-4]是当要找到的目的地IP地址与掩码部分的阶段之后的地址部分一致时，指向要找到的下一个路由项目的地址的指针。Miss-hit[0-4]是当它们彼此不一致时指向下一个路由项的地址的指针。移位位用于确定IP地址中的后8位是否需要查找和判断。仅当当前8位IP地址与目标地址中对应的8位一致时，才会设置该位。停止位用于确定是否仍然需要搜索。它在IP地址查找结束时设置，或者当没有比对应于当前条目的IP地址更长的路由表条目时设置。

图2是表1的一个例子：

在本例中，每个框中的上面一行表示相应的IP地址部分和密码部分。下面一行代表相关密码部分的二进制表示。相应的搜索算法如下：

/*搜索算法开始*/

search=TRUE

WHILE(搜索)

{

masked_key=key(条目-掩码_部分)；

结果=(条目地址部分)==屏蔽密钥

IF ( result==TRUE ) {

最佳匹配=条目；

entry entry=entry-hit _ next；

} ELSE { entry entry=entry-miss _ next；

IF(entry-stop==TRUE)search=FALSE；

}

}

返回best _ match

/*搜索算法结束*/

为了实现有效的插入和删除，我们必须在路由表的数据结构中添加几个额外的字段：父指针(指向该节点的父节点)、routeinformation(路由信息)等。它们的目的是在路由表的查找过程中，尤其是指针回滚中，大大节省查找时间。因为IP路由的插入和删除很复杂。我们只需要给出一个粗略的解释。

IP插入：

/*插入算法开始*/

/*首先用上面提到的搜索算法找出最佳匹配*/

best_match=search(新条目)；

/*确定需要添加但最佳匹配不包含的路由位*/

for(count=first _ unmatched _ bit；count=sizeof(new _ entry)；

count=sizeof ( address_part ) {

/*创建新节点*/

创建新节点；

/*将此节点连接到best_match的hit _ next */

将节点链接到最佳匹配的命中分支；

}

/*插入算法结束*/

IP的删除应该在几种情况下讨论。例如，best_match是叶节点，best_match的hit_next指针为空，best_match的miss_next指针为空，hit_next指针和miss_next指针都不为空。这里就不讨论了。此外，配置文件可以通过两种方法存储在支持命令行接口(CLT)的路由器平台上。一种是运行脚本，可以在路由器配置服务器和路由器之间建立SSH会话，登录系统，关闭控制器的日志功能，显示配置，将路由器配置保存到本地文件，退出系统。另一种是在路由器配置服务器和路由器之间建立IPSEC隧道，在安全隧道中通过TFTP将路由器配置文件复制到服务器。同时也要明确谁可以更改路由器配置，何时更改，如何更改，在进行任何更改之前，制定详细的反向操作流程。

通过以上内容你应该知道路由器配置的方法。这些都是基础知识，很容易掌握。希望读者能掌握。