2023-02-05 02:46:23 发布人:hao333 阅读( 5877)
路由器配置前我们要知道路由器是信息网络中实现网络互联的关键设备,它将不同网络或网段之间的数据信息进行“翻译”,以实现网络互联和资源共享。
在配置路由器之前,我们要知道路由器是信息网络中实现网络互联的关键设备。它在不同的网络或网段之间“翻译”数据信息,实现网络互联和资源共享。我们来看看路由器的快速配置方法:
堵住安全漏洞
和路由器电脑等网络设备一样,本身也存在一些缺陷和漏洞。利用路由器自身的缺点攻击网络是黑客常用的手段。因此,我们必须采取必要的措施来堵塞路由器的安全漏洞。限制系统的物理访问是最有效的方法之一。它配置控制台和终端会话路由器在短暂的空闲时间后自动退出系统,从而堵住路由器的安全漏洞,保护整个网络的安全。此外,避免将调制解调器连接到路由器的辅助端口。
避免身份危机
黑客经常使用弱密码或默认密码进行攻击。延长密码有助于抵御此类攻击。当网管调职或退出本岗位时,应立即更改密码。此外,应开启路由器的密码加密功能。在大多数路由器上,可以配置一些协议,比如远程认证拨入用户服务,结合认证服务器提供加密认证的路由器访问,加强路由器的安全系数,提高整个网络的安全性。
限制逻辑访问
限制逻辑访问,主要通过合理处置访问控制列表来限制远程终端会话,这有助于防止黑客获得对系统的逻辑访问。SSH是首选的逻辑访问方法,但是如果无法避免TELNET,可以使用终端访问控制来限制对可信主机的访问。因此,有必要在路由器上为TELNET使用的虚拟终端端口添加访问列表。
控制消息协议ICMP有助于故障排除,但它也为攻击者提供了浏览网络设备、确定时间戳和网络掩码以及猜测OS修订版本的信息。为了防止黑客收集上述信息,只允许以下类型的ICMP流量进入网络:ICMP网络无法到达的流量、主机无法到达的流量、端口无法到达的流量、过大的流量、源抑制的流量和超过生存时间(TTL)的流量。此外,逻辑访问控制应该禁止除ICMP流量之外的所有流量。
使用入站访问控制,您可以将特定服务器引导到相应的服务器。例如,只允许SMTP流量进入邮件服务器;DNS流量进入DNS服务器;HTTP(HTTPS)流量通过安全套接字协议层(SSL)进入web服务器。为了避免路由器成为DoS攻击的目标,应该拒绝以下流量:没有IP地址的数据包,具有本地主机地址、广播地址、组播地址和任何伪造内部地址的数据包。您还可以采取措施,如增加SYM ACK队列的长度和缩短ACK超时时间,以保护路由器免受TCP SYN攻击。
监控路由器配置更改
当路由器配置发生变化时,需要对其进行监控。如果使用SNMP,一定要选择功能强大的常用字符串,最好使用提供消息加密的SNMP。如果设备被配置为没有SNMP管理的远程路由器,最好将SNMP设备路由器配置为只读,并拒绝对这些设备的写访问。这样可以防止黑客更改或关闭界面。此外,系统日志信息应该从路由器发送到指定的服务器。同时,为了进一步保证安全管理,还可以使用SSH等加密机制与路由器建立加密的远程会话。
实施路由器配置管理。
配置的一个重要部分是确保网络使用合理的路由器协议,避免使用路由信息协议(RIP)。因为RIP很容易被欺骗,所以它接受非法的路由更新。因此,需要对路由器配置的存储、检索和更新进行控制,以便在新配置出现问题时,可以替换、重装或恢复到原来的路由器配置。
1.路由器的体系结构
图1显示了一个通用路由器的逻辑架构。它主要由以下几个部分组成:路由引擎、转发引擎、路由表、网络适配器以及相关的逻辑电路。转发引擎负责将数据包从一个网络适配器转发到另一个网络适配器。IP协议,包括路由表的查找,构成了转发引擎最重要的部分。因为每一个经过路由器并需要由其转发的数据包都要查找路由表,所以查找路由表的效率往往决定了整个路由器的性能。路由引擎包括高层协议,尤其是负责更新路由表的路由协议。因为路由引擎不涉及通过路由器的数据路径,所以可以用通用CPU代替。
2.硬件路由表的数据结构设计。
一般来说,路由器中路由表的每一项至少包含以下信息:目标地址、网络密码和下一跳地址。如果每个IP地址都有一个条目,占用了大量的2323*4字节内存,肯定有很多条目没有被使用,会造成极大的资源浪费。
为了通过硬件找到路由表,搜索算法需要满足以下条件:
1)可以实时搜索路由表;
2)路由表的有效插入和删除;
3)提供有效的最长前缀匹配;
4)良好的可扩展性;
5)支持广播和组播;
6)有效利用内存;
7)易于硬件实现,性能良好。
我们来考虑一下,如果在路由表的查找中将子网密码和IP地址结合起来,对IP地址进行相应的分段,并将它们连接起来。这样路由表的条目中只包含IP地址的一部分及其对应的密码,可以达到很好的可扩展性。只要有效地管理内存,就可以灵活动态地实现路由的插入和删除。鉴于此,我们设计了这个表的结构(如下表1所示):
单击查看大图
其思路是:32位IPv4地址主要分为4部分,每部分8位。在该结构中,地址部分[0-4]是IP地址的一部分,掩码部分[0-4]是相应的掩码部分。Hit-next[0-4]是当要找到的目的地IP地址与掩码部分的阶段之后的地址部分一致时,指向要找到的下一个路由项目的地址的指针。Miss-hit[0-4]是当它们彼此不一致时指向下一个路由项的地址的指针。移位位用于确定IP地址中的后8位是否需要查找和判断。仅当当前8位IP地址与目标地址中对应的8位一致时,才会设置该位。停止位用于确定是否仍然需要搜索。它在IP地址查找结束时设置,或者当没有比对应于当前条目的IP地址更长的路由表条目时设置。
图2是表1的一个例子:
在本例中,每个框中的上面一行表示相应的IP地址部分和密码部分。下面一行代表相关密码部分的二进制表示。相应的搜索算法如下:
/*搜索算法开始*/
search=TRUE
WHILE(搜索)
{
masked_key=key(条目-掩码_部分);
结果=(条目地址部分)==屏蔽密钥
IF ( result==TRUE ) {
最佳匹配=条目;
entry entry=entry-hit _ next;
} ELSE { entry entry=entry-miss _ next;
IF(entry-stop==TRUE)search=FALSE;
}
}
返回best _ match
/*搜索算法结束*/
为了实现有效的插入和删除,我们必须在路由表的数据结构中添加几个额外的字段:父指针(指向该节点的父节点)、routeinformation(路由信息)等。它们的目的是在路由表的查找过程中,尤其是指针回滚中,大大节省查找时间。因为IP路由的插入和删除很复杂。我们只需要给出一个粗略的解释。
IP插入:
/*插入算法开始*/
/*首先用上面提到的搜索算法找出最佳匹配*/
best_match=search(新条目);
/*确定需要添加但最佳匹配不包含的路由位*/
for(count=first _ unmatched _ bit;count=sizeof(new _ entry);
count=sizeof ( address_part ) {
/*创建新节点*/
创建新节点;
/*将此节点连接到best_match的hit _ next */
将节点链接到最佳匹配的命中分支;
}
/*插入算法结束*/
IP的删除应该在几种情况下讨论。例如,best_match是叶节点,best_match的hit_next指针为空,best_match的miss_next指针为空,hit_next指针和miss_next指针都不为空。这里就不讨论了。此外,配置文件可以通过两种方法存储在支持命令行接口(CLT)的路由器平台上。一种是运行脚本,可以在路由器配置服务器和路由器之间建立SSH会话,登录系统,关闭控制器的日志功能,显示配置,将路由器配置保存到本地文件,退出系统。另一种是在路由器配置服务器和路由器之间建立IPSEC隧道,在安全隧道中通过TFTP将路由器配置文件复制到服务器。同时也要明确谁可以更改路由器配置,何时更改,如何更改,在进行任何更改之前,制定详细的反向操作流程。
通过以上内容你应该知道路由器配置的方法。这些都是基础知识,很容易掌握。希望读者能掌握。
相关阅读
RelatedReading猜你喜欢
Guessyoulike