设置ADSLMODEM的路由功能网络知识

设置ADSLMODEM的路由功能网络知识（5篇）

1.设置ADSLMODEM的路由功能网络知识 篇一

上文中，我们介绍了ADSLmodem桥接模式的相关概念和设置，在这篇文章里，我们将接触到ADSLmodem的另一个常用的模式DD路由模式，

5、路由

在ADSL的“路由”标签中，有关这方面的内容主要是“IP路由”和“IP地址表”。首先给各位介绍的是“IP路由”。请往下看。

IP路由

现在，一般的ADSLModem都支持多种网络协议，具有静态路由功能，是一台完整的路由器。实际上许多人对ADSLModem的路由功能仅仅是停留在概念上。那么在家庭和SOHO应用中，ADSLModem的路由功能是怎样与其他设备通信地呢?路由的Modem对我们有什么具体的作用呢?我们怎样才能使用路由功能呢?有关这方面的话题，我们来逐步跟大家进行讨论。首先来介绍一下有关IP路由方面的概念与基础知识吧。

(一)IP路由的概述

、IP路由器定义

因特网是通过路由器互连的网络和主机的一个庞大的集合，路由器是连接两个或两个以上包交换网络的专用计算机。在路由器工作时，它可以主动地为一个特定的目标设备接收数据，但接收到数据后跟着下一步会把数据传送到什么地方呢?当你给路由器定义了IP路由规则时，则路由器会使用你提供规则来确定把数据传送到哪一个目标设备上。

()、IP路由器和电话交换机相比较

IP路由器的工作原理有点类似处理电话呼叫的接线交换机那样。

当我们拔一个长途电话号码时，首先通过我们的本地电话线连接到一台正在工作的电话交换机上，所发出的所有呼叫最先到达这台主交换机的。但如果你所拔的电话号码是你这台主交换机服务区域外的，那么这台交换机会为长途呼叫电话连接到更高一级的交换机，而这台更高一级的交换机会检查你拔的电话区号并为你连接到另外一台在正在为你所呼叫地区服务的交换机上，这台正在工作的新交换机会检查你拔的电话号码的前缀(当中的前三个数字)，并连接到符合电话号码前缀的一台更多服务区的交换机上，到最后的交换机上，那么它会检查电话号码的最后四位数字来连接到你要拔给的人或公司的电话上。

相比之下，当你的计算机在因特网上开始与网络中的其他主机通讯时，例如要连接到一台网站服务器浏览网页，你的计算机发送出包括目标网页的计算机的IP地址(如同“电话号码”)的数据包，所有你发出的请求首先到达与你计算机相连的你I的路由器(如同“第一个电话交换机”)，这时你I的路由器会查看该数据包目标地址的网络ID部份(如同“电话区号”)，并确定哪一个是将要发送网页浏览请求的路由器，经过几个这样的路由器后，这个请求到达了目标网络的路由器中，然后这个路由器用目标IP地址的主机ID部份发送请求到达要访问的计算机上。

比较计算机和电话，所有的处理最初都是送到同一个路由器或交换机上，它对其他更高或更低层的设备来说是作为一个网关服务的，没有一个设备能够得知数据的出发和结尾路径，但每个设备使用目标地址(或电话号码)的一个特定部份来确定哪一个设备是它的下一步所要连接的。

小提示:每个IP地址包含了二种信息，网络ID和主机ID，网络ID是用来区别因特网或企业局域网中的一个特定的网络号;主机ID是用来区分网络上的一台特定的计算机或设备。每个IP地址的第一部份包含有网络ID，其它部份包含有主机ID，网络ID的长度是由网络的等级所决定的(更多关于IP地址的信息可以参见这篇文章)。

()、跳步和网关

每当因特网上的数据包从一个因特网地址通过另一个因特网地址时，亦即是说这个数据包经过了一个“跳步”，一个“跳步”可以是在同一设备上的不同端口、同一网络上的不同设备或在其它网络上的一台设备间的数据传递过程。

当一个“跳步”从一种类型网络到另一种类型网络传递数据时，它要使用网关，网关是在某一个网络上提供给该网络用户使用的一个IP地址，正如一台电话交换机对于一个特定的电话号码来说象一个网关。例如当你局域网上的一台计算机请求访问一个公司的网站时，你的I服务器对于因特网来说就象一个网关，一旦你的请求到达目的地时，另一个网关让你可以访问这个公司网页服务器上的网页。

,

()、使用IP路由器来指定缺省网关

IP路由器可以在计算机、路由器和其它使用IP地址的机器上指定它们使用哪个网关把数据包传送到它的目的地。如果一个目标文件没有确定IP路由，那么它的数据将被送到已经预设的默认网关上，这个网关好像一台更高层的电话交换机一样为传送数据服务，它可能不能把数据包送达最终目标设备，但它可以“聪明地”认出哪一台其它设备能把数据包送到，如果它无法确定哪一台设备能把数据送到时(因为没有指定路由)，那么这机器会把数据送到它自己的默认网关上，最终一台高层机器使用它预定的IP路由能把数据沿着传送路径传到数据包的目标设备上。

(二)、什么情况下需要设定IP路由?

在典型的家用或办公用局域网中，在下例情况下，为使ADSLModem与因特网的通信提供合适的路径，我们需要设定它的IP路由。

①如果我们的家中(或办公室)有两个以上的网络或者子网时，在这两个网络内都使用

②还有如果我们的网络比较复杂一点，有时需要连接有二个或以上的I服务器时，就需要在ADSL中设置不同IP路由条目来与这些不同的I进行通信。

③再者当我们需要连接到一个远程局域网时(例如家庭网络与办公网络相连)。在这样的情况下，都有可能要设定网络中的路由器。

(三)、添加IP路由

我们可以自己手工向ADSLModem的路由表中添加IP路由条目，下面笔者向大家介绍一下怎样在路由表中添加一条IP路由。具体步骤如下:

①、IP路由表页上点击“添加”按钮，弹出一个“IP路由-添加页”。如下图所示。

②、为这条IP路由条目指定目标地址、子网掩码、网关/NextHop，请参照上面的介绍输入这些选项的内容，

如果要设定设备默认网关的IP路由，请在“目标地址”和“子网掩码”项中都输入0.0.0.0，在“网关/NextHop”项中输入I的IP地址。

注意:在这页中，我们无法指定接口名，路由类型或RouteOrigin，因为这些参数的使用只有在设备连接到其它路由设备时ADSLModem才会自动获得，对于我们自己创建的IP路由条目，这些选项在“IP路由表”页上是显示系统默认值的。

③、点击“提交”按钮，确认修改的信息。然后再返回，就可以看到在路由表中看到新添加的路由条目了，现在保存即可。

图:添加一条IP路由条目

(四)、查看IP路由表

每台使用IP地址的计算机和路由器都有它经常用来上网的IP路由地址表，对于每个目标IP地址在地址表中都列出有取得数据的开始端IP地址。路由器通过检查其路由表来确定如何转发数据包，如果数据包的目的地址位于路由器直接连接的网络，则路由器不需要使用其他路由器就可以递交该数据包;如果目的地址位于远程网络，则路由器必须将该数据包转发到另一个距目的网络更近的路由器，然后由路由器负责之后的转发及传递。通往远程网络的路由可以通过一些路由选择协议静态配置或动态获得。

进入ADSLModem的配置页面，点击“路由”标签，然后点击任务栏中的“IP路由”，显示IP路由表(如下图所示)。在IP路由表上对每个现用路由都有一行显示，包括在ADSLModem中预设的路由、你已经添加的路由和通过连接你的I网络而自动获得的路由。

在路由表中显示有“目标地址、子网掩码、NextHop、接口名称、RouteType、RouteOrigin、操作”这几项，下面笔者就具体解释一下各项参数的意义与作用。

①目标地址:指定目标计算机的IP地址，目标地址可能是指定给一台特定计算机或一个完整网络的IP地址，它也可以指定作为所有节点，即这个路由器将为所有那些没有其它路由器所设定目标地址的计算机所使用，这就是路由器创建的默认网关。

②子网掩码:指网络上涉及目标地址和计算机的部份，默认网关使用0.0.0.0作子网掩码。

,

③NextHop:在“目标地址”栏中显示的目标地址中，通过“NextHop”所指定的地址来作为它下一个用来传送数据包的目的IP地址。

④接口名称:指数据包通过哪个接口来传送到它下一个特定的网段。

⑤路由类型:指这个路由器是直接路由(Direct)还是间接路由(Indirect)。在一个直接路由中，源计算机和目标计算机是在同一网络中的，路由器会直接将数据从源计算机发送到目标计算机上。在间接路由中，源计算机和目标计算机是在不同网络中的，路由器要将数据传送到另外一个网络，还需要其它更多路由器来处理。

⑥RouteOrigin:指是什么样的路由模式。动态路由(Dynamic)指由你的I或厂商预设在系统上的路由，使用动态路由，路由器可以在网络之间的大量可用路由中选择一条最佳路径。静态路由(Static)的情况下，网络管理员必须在路由器中逐个输入每个目的网络及相关联的下一跳步的地址。你自己创建的路由标为“Local”。其它路由可以自动创建或者通过各种网络管理协议进行远程创建。

⑦操作:你可以点击“”来删除相应的路由条目。

IP路由表也可能显示你的I作因特网通信的默认网关，这个默认网关在这行里显示包括目标地址0.0.0.0。

图:显示的IP路由表

IP地址表

ADSL的各个接口使用唯一的IP地址与其它网络设备进行通信，并能根据唯一的IP地址识别因特网上和各种设备。我们可以在配置管理页面中查看ADSL设备各个接口所使用的IP地址列表，还能查看其它系统和网络的具体性能数据。在“路由”标签下点击“IP地址表”，在该页中可显示本设备所有端口的IP地址,包括局域网(Ethernet)端口和广域网(DSL)端口.

(一)、查看设备的IP地址

在IP地址表中(如图所示)，显示有设备每个IP接口的IP地址、子网掩码、接口名称。

列表中的IP地址通常包含有如下的接口:

①设备的局域网(以太网)端口的IP地址，通常称为eth-0，在设置这个地址的详细内容可参看上面所述的“局域网设置”中有关介绍。

②设备的U端口的IP地址，叫u-0，它在设备启动时会自动取得的。

③设备的广域网(DSL线路)端口的IP地址，I和来自于局域网外的其他设备可以使用这个地址识别我们的网络。在配置管理页中，它可以依据不同的情况，被设定为-0、eoa-0或ipoa-0几种不同的设置值，依赖于不同的因特网协议，我们的ADSL设备使用它来与I进行连接通信。可能，I在用户每次连接时分配给该设备的这个IP地址有可能是相同的，或者每次都是不同的。

④回传IP地址，名叫lo-0,其IP地址一定是7.0.0.。这是个特别的地址能让一些数据直接回传给设备本身，这样做的好处就是避免让一些数据还要通过局域网或广域网端口绕一大圈后再路由回传到该设备上来。

如果设备还有其它接口，那么它们的IP地址也会在这里列出。

图:查看各个接口上的IP地址信息

(二)、查看IP性能统计

我们可以查看设备在处理因特网协议数据包过程中的一些统计信息(数据包是为了方便数据的传输而按一定的规则事例在一起的某些数据的集合)。当然，在一般情况下我们并不需要来总是查看些数据统计信息，但当我们在诊断网络故障和因特网数据传送问题时查看它就可能有助于解决所出现的麻烦与问题。

在“IP地址表”页中点击“全域统计”按钮，就会显示自从你打开这个页面起的所有数据的最新统计表，当然我们也可点击“刷新”按钮来更新这些数据信息。

在下一篇文章里，我们会讲到ADSLmodem提供的各类服务的设置。

2.设置ADSLMODEM的路由功能网络知识 篇二

关键词：网络时代,议程设置,传播,受众,媒介

一、关于传统议程设置理论

议程设置的基本思想在沃尔特·李普曼 (Walter Lippmann) 1922年出版的《舆论学》一书中已经初具雏形, 李普曼书中提出了他的观点:“新闻媒介影响‘我们头脑中的图像’。”而在1963年, 伯纳德·科恩提出了“议程设置”这一概念, 其中最经典的表述:“在多数时间, 报界在告诉它的读者该怎样想时可能并不成功;但它在告诉它的读者该想些什么时, 却是惊人地成功”, 成为引用率最高的表达方式。1972年, 麦肯姆斯和肖于在《舆论季刊》上发表了论文《大众传播的议程设置功能》, 最早提出议程设置的理论假说:“大量不容忽视的证据已经逐步表明, 在编辑和广播员们每天选放新闻时, 他们在塑造我们的社会现实中起着主要的作用……大众传媒的这一作用——影响个人认知变化、构造他们思维的能力——已经被认作是大众传播的议程设置功能。”这段话的中心思想是:大众传播具有一种为公众设置“议事日程”的功能, 传媒的新闻报道和信息传达活动以赋予各种“议题”不同程度的显著性的方式, 影响着人们对周围世界的“大事”及其重要性的判断。换句话说, “媒介的议程设置 (Ag enda Setting) 功能就是指媒介的这样一种能力:通过反复播出某类新闻报道, 强化该话题在公众心目中的重要程度”。

二、网络环境下的议程设置

议程设置理论从提出到现在, 媒体的形态日新月异。传统的议程设置理论是建立在传统媒体环境基础上的, 其一, 传播者是从事信息发布和传播的专业媒体结构, 对信息的流向和流量有着独断的控制力, 在传播关系中居于主导地位;其二, 从传播过程来看, 传统的大众传播是单向的, 媒体单方面提供信息, 受众处于被动地位, 而且没有灵活的反馈渠道。除此之外, 传统媒体容量有限, 传播者必须对传播内容有所取舍。伴随着信息技术的层出不穷, 网络技术迅猛发展, 极大地改变了人们信息传播的方式, 网络已经渐渐成为人们生活的一部分, 我们常常把这个时代称之为网络时代。微博、论坛、BBS等都是大众发出自己声音的平台, 在这样的社会中, 大众的个性凸显, 社会对个人的约束力发生改变, 道德、伦理的标准也在不断变化。大众利用网络发表言论, 网民建立起自己的“拟态环境”, 伴随着传统媒介的介入, 整个事件的影响扩大, 从而成为整个社会的舆论话题。以互联网为载体的网络媒体的兴起, 打破了传统的媒介环境。这就是当今时代网络环境下的议程设置。

三、网络环境下的议程设置理论的新特点变化

其一, 网络媒体作为载体打破了传统媒体的格局限制。网络媒体所能承载的信息量是传统媒体所无法超越的, 以报纸、广播、电视三足鼎立的传统媒体, 传播时受版面和节目时间的限制, 所以无法全面地将所有信息展现给受众, 编辑必须做出一定的筛选, 根据信息的重要性以及热度来进行排序, 之后再发布给受众。而在网络环境下, 编辑可以将大量的信息发布在平台上, 受众可以通过搜索选择自己感兴趣的信息来阅读, 而且在网络这个大环境下, 受众不仅单一地认识一种观点, 而且可以从头到尾地了解整个信息, 看到网络中各种不同的观点。这样受众的自主性发挥得更明显, 不会太大程度地受媒体的影响。除信息量的限制之外, 网络媒介作为新生媒介, 相比传统媒介单一的表现形式, 集结了多种媒介的特点于一体。同一事件的报道, 编辑可以将文字、图片、音频、视频都展现在受众面前, 不仅带给受众不同的感受, 更加能带领受众从一些新的角度去认识、思考这一事件。

其二, 网络环境下的受众地位发生变化。传统媒介下的受众处于被动的状态, 传统的大众传媒作为主体, 受众作为客体, 方式则是由大众传媒向受众传播某一议程议题。在这样的情况下, 受众往往跟随着传统媒体所设置的议程走, 迷失了自己的观点。而在网络环境下, 网络媒体将受众的地位提升为主导者, 由网民自己来设置议程。受众对信息的接受不再是传统媒介那种“我播你看、我说你听”的被动状态, 而是有着自主选择的强烈欲望, 主动权完全由受众自己把握并支配。网络媒体根据网民对某一议程的点击、参与以及讨论来判断某一议程的受关注热度, 对网民关注热度高的议程进行详细具体的报道。

在微博的世界中, 相应热点话题的设置就是根据受众一个小时内对事件的关注度来进行排列, 完全由受众引导整个热点话题的发展。微博作为一种网络时代的新媒体, 为受众提供了自主的平台, 在这个平台上, 每个受众都可以“微话题”, 都可以参与话题, 自由地讨论以及分享自己的观点。

其三, 网络议程设置更加快捷及时。媒体作为传播信息的平台, 传播的及时与否对受众来说十分重要, 受众不可能对一件已经过时的议题产生强烈兴趣。这就需要媒体把握速度, 网络媒体更新信息依靠的是强大的网络环境, 而在网络环境下没有强硬的时间限制、版面限制, 只要有值得关注的议题都可以第一时间及时发布, 让更多的受众参与其中。相比之下传统媒介就无法做到第一时间及时发布信息, 广播电视有播放时间的限制, 报纸杂志受到版面设计的限制, 无法在第一时间向受众反映信息。

显然可见, 同样在微博中, 博主们可以随时随地地发布信息, 更新信息, 再由其他对这个信息有兴趣的博主进行转发、评论, 一条信息可能在几分钟内就得到上千的反馈与评论, 信息报道的及时性以及传播的速度是传统媒介所无法比拟的。

其四, 网络设置议程与传统设置议程相互依存。首先, 随着网络涉及的信息范围越来越广, 信息量越来越大, 传统媒体逐渐依靠网络媒体, 网络媒体作为一种平台, 可以提供受众发表自己的观点, 所以传统媒体根据网络环境下受众对信息的反馈以及关注度来选择重点的议题来进行报道, 不仅抓住受众的偏好, 而且显得更加贴近受众。这点在微博平台中也不难看出。针对微博中的热点话题, 传统媒体不仅进行广泛的报道, 而且在微博上进行评论, 转发引发新的讨论, 因为这些热点话题正是受众所强烈关注的。但是网络媒体却离不开传统媒体, 针对舆论的议题, 往往受到网络与传统媒体共同的报道, 将议题的重点展现在受众面前, 引发社会反响, 引起舆论。网络传播的信息散乱无章, 更加需要传统媒体的整合、汇总, 向受众展示出具体的、权威的信息。而且当传统媒介由于自身的版面等限制, 无法对某一事件进行长期的持续性的报道时, 网络媒体则可以发挥自己的优势, 在网络平台上进行长期的跟踪报道, 从不同的角度展现同一事件的进展, 引起受众的关注。

作为正在不断发展的自媒体, 微博不仅集操作方便、传播迅速、互动性极强等优势于一体, 而且微博的平民性令每一个普通的网民都有了发表自我意见的机会, 媒体与公众间的反馈更强烈, 不难发现, 在网络时代的传播环境中, 议程设置仍然存在, 而且有了新的发展。

当然事物是多方面的, 网络时代满足了人们个性需求的同时也会带来舆论风暴、内容杂乱等问题。微博在满足人们表达欲的同时也成了谣言、虚假信息滋生的温床。积极加强微博的引导, 才能使社会信息环境更加健康有效发展。

参考文献

[1]郭庆光.传播学教程[M].中国人民大学出版社, 1999.

3.设置ADSLMODEM的路由功能网络知识 篇三

配置CISCO(思科)路由器有两种方法，一是通过CISCO路由器的配置端口,利用微机或终端来配置，二是利用网络通过Telnet命令来配置，不过采用第二种方法，要求用户已经正确配置了路由器各接口的IP地址。第一种方法更具有通用性，通过这种方法对其配置过程进行讲解：

第一步：如图1所示，建立本地配置环境，只需将微机(或终端)的串口通过标准RS232电缆与路由器的配置口连接;如果建立远程配置环境，如图2所示，需要在微机串口和路由器配置口上分别挂接Modem。然后通过电话拨号实现连接。

第二步：准备一台安装了Windows95/98操作系统的个人电脑;

第三步：用随机提供的配置口电缆把PC的串口1和CISCO的Console口相连，然后打开PC和CISCO的电源，

第四步：用PC建一个超级终端。开始→程序→附件→通信→超级终端。用鼠标双击Hypertrm.exe文件，然后输入要建的超级终端名称并选择一个图标，选择“直接连接到串口1”选项，设置通信端口(设置终端通信参数：通信速率9600bps、8位数据位、1位停止位，无奇偶校验，无流控;(在Windows 3x上使用终端仿真时：终端类型为VT100，二进制传输协议为Xmodem/CRC，如图3)。

鼠标点击确定后，PC终端即正确连到了CISCO路由器上。连接实例如下：

启动超级终端，设定名称为CISCO,再选择一个图标(如图4)->然后选择合适的连接端口，本地配置选择串口，远程配置选择Modem。(如图5)->选择波特率为9600bps(如图6)->最后把设置的保存在CISCO文件里，下一次直接从超级终端CISCO中启动。

第六步：如果路由器第一次上电，自动执行Setup命令，以交互方式提示用户配置路由器最初启动所必需的参数;否则会显示路由器自检信息，自检结束后提示用户键入回车，直到出现命令行提示符(如图7)。

点击查看大图 第七步：键入命令，配置路由器或查看路由器运行状态，需要帮助可以随时键入“?”。

4.设置金浪路由网络环境关键点 篇四

二、金浪路由能辨识应用服务，阻挡或允许应用程序使用，以封包辨识为基础，就算不同的应用都是使用相同的服务端口，也能有效地阻挡与工作无关的应用，同时开放工作所需的应用，从而让企业办公效率更高。

三、同时接入多条Internet线路来做带宽增加和负载均衡已经是企业普遍的做法，需要对特定的应用根据线路的特性做绑定，流行路由允许将应用分配走不同的外线出去，重要的应用绑定在联机质量好的专线上，对企业至关重要的CRM客户关系管理系统，就可以绑定在最稳定的光纤线路上，而一般的网络浏览，则可以集中到ADSL线路，

四、企业的正常网络应用也会因需要而分出轻重缓急，如极其重要的视频会议、大客户的VOIP业务沟通及高层主管对网络数据的及时获取等等，都需要保证其良好的带宽及稳定，金浪路由可设定某应用或上IP享有使用带宽的最高优先权，不受QoS管控，使用的带宽不受限制优先保障使用带宽，不会因为其他的应用服务占用带宽而导致不顺畅甚至无法使用。

5.路由器基本工作原理及其安全设置 篇五

路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上, 路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息, 依照拓扑结构动态生成路由表。在数据通道上, 转发引擎从输入线路接收IP包后, 分析与修改包头, 使用转发表查找输出端口, 把数据交换到输出线路上。转发表是根据路由表生成的, 其表项和路由表项有直接对应关系, 但转发表的格式和路由表的格式不同, 它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域, 这些管理区域称为自治域, 自治域区号实行全网统一管理。这样, 路由协议就有域内协议和域间协议之分。域内路由协议, 如OSPF、IS-IS, 在路由器间交换管理域内代表网络拓扑结构的链路状态, 根据链路状态推导出路由表。域间路由协议相邻节点交换数据, 不能使用多播方式, 只能采用指定的点到点连接。

2 路由器结构体系

路由器的控制平面, 运行在通用CPU系统中, 多年来一直没有多少变化。在高可用性设计中, 可以采用双主控进行主从式备份, 来保证控制平面的可靠性。路由器的数据通道, 为适应不同的线路速度, 不同的系统容量, 采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言, 可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发, 根据使用CPU的数目, 进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发, 根据使用网络处理器的数目及网络处理器在设备中的位置, 进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

3 路由器安全设置

对于黑客来说, 利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期, 误导信息流量, 使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己, 但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

3.1 堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问, 用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露, 这就使得黑客抢在供应商发行补丁之前利用受影响的系统, 这需要引起用户的关注。

3.2 避免身份危机

黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30~60天的口令有效期等措施有助于防止这类漏洞。另外, 一旦重要的IT员工辞职, 用户应该立即更换口令。用户应该启用路由器上的口令加密功能, 这样即使黑客能够浏览系统的配置文件, 他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上, 用户可以配置一些协议, 如远程验证拨入用户服务, 这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证, 以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分, 后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳 (SSH) 或IPSec内传送安全证书。

3.3 禁用不必要服务

拥有众多路由服务是件好事, 但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是, 禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步, 经过一段时间后, 时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议 (NTP) 的服务, 对照有效准确的时间源以确保网络上的设备时针同步。不过, 确保网络设备时钟同步的最佳方式不是通过路由器, 而是在防火墙保护的非军事区 (DMZ) 的网络区段放一台NTP服务器, 将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上, 用户很少需要运行其他服务, 如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

3.4 限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法, 但如果无法避免Telnet, 不妨使用终端访问控制, 以限制只能访问可信主机。因此, 用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

控制消息协议 (ICMP) 有助于排除故障, 但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止黑客搜集上述信息, 只允许以下类型的ICMP流量进入用户网络:ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间 (TTL) 的。此外, 逻辑访问控制还应禁止ICMP流量以外的所有流量。

使用入站访问控制将特定服务引导至对应的服务器。例如, 只允许SMTP流量进入邮件服务器;DNS流量进入DSN服务器;通过安全套接协议层 (SSL) 的HTTP (HTTP/S) 流量进入Web服务器。为了避免路由器成为Do S攻击目标, 用户应该拒绝以下流量进入:没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝Do S攻击, 但用户可以限制Do S的危害。用户可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCPSYN攻击。

用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量, 只允许有效的源地址包离开网络。这有助于防止IP地址欺骗, 减小黑客利用用户系统攻击另一站点的可能性。

3.5 监控配置更改

用户在对路由器配置进行改动之后, 需要对其进行监控。如果用户使用SNMP, 那么一定要选择功能强大的共用字符串, 最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置, 用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问, 用户就能防止黑客改动或关闭接口。此外, 用户还需将系统日志消息从路由器发送至指定服务器。

为进一步确保安全管理, 用户可以使用SSH等加密机制, 利用SSH与路由器建立加密的远程会话。为了加强保护, 用户还应该限制SSH会话协商, 只允许会话用于同用户经常使用的几个可信系统进行通信。

配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议 (RIP) , RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议 (BGP) 和开放最短路径优先协议 (OSPF) 等协议, 以便在接受路由更新之前, 通过发送口令的MD5散列, 使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。

3.6 实施配置管理

用户应该实施控制存放、检索及更新路由器配置的配置管理策略, 并将配置备份文档妥善保存在安全服务器上, 以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

用户可以通过两种方法将配置文档存放在支持命令行接口 (CLI) 的路由器平台上。一种方法是运行脚本, 脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统;另外一种方法是在配置服务器到路由器之间建立IPSec隧道, 通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前, 制订详细的逆序操作规程。

摘要：简要介绍了路由器的工作原理和结构体系, 重点讨论了如何对路由器进行安全设置。