◆王旭華

（江蘇省豐縣中等專業(yè)學(xué)校 江蘇 221700）

計(jì)算機(jī)網(wǎng)絡(luò)課程教學(xué)中路由器端口安全配置的探究

◆王旭華

（江蘇省豐縣中等專業(yè)學(xué)校 江蘇 221700）

路由器是一種連接因特網(wǎng)中廣域網(wǎng)和局域網(wǎng)的主要設(shè)備，其能夠根據(jù)信道自動(dòng)選擇最佳路徑，其是互聯(lián)網(wǎng)的樞紐?，F(xiàn)代路由器已經(jīng)被廣泛應(yīng)用到各行各業(yè)中，其能夠?qū)崿F(xiàn)骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)之間的互相連接和互聯(lián)網(wǎng)的互相連接。路由器和交換機(jī)并不相同，路由器在參考模型的第三層網(wǎng)絡(luò)層，交換機(jī)在第二層數(shù)據(jù)鏈路層，兩者的功能也各不相同。路由器能夠?qū)崿F(xiàn)高速選擇信息傳送線路，有效提高通信效率，降低網(wǎng)絡(luò)系統(tǒng)的通信符合，實(shí)現(xiàn)系統(tǒng)資源的有效節(jié)約，并且提高網(wǎng)絡(luò)的暢通率，使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益。但是在路由器教學(xué)過程中，路由器的端口安全配置是不容易掌握的內(nèi)容?；诖?，以下就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中的路由器端口安全配置進(jìn)行全面的研究。

計(jì)算機(jī)網(wǎng)絡(luò)；教學(xué)；路由器端口；安全配置

0 前言

在社會(huì)經(jīng)濟(jì)不斷發(fā)展的過程中，Internet也有了快速的發(fā)展，在本次網(wǎng)絡(luò)中實(shí)現(xiàn)信息的共享已經(jīng)無法滿足人們的需求，而是希望能夠有效使用全球不同地區(qū)和類型的網(wǎng)絡(luò)資源，路由技術(shù)在此背景下也逐漸成為網(wǎng)絡(luò)技術(shù)中的主要內(nèi)容，并且也成為了較為重要的網(wǎng)絡(luò)設(shè)備?，F(xiàn)代一般具有一定規(guī)模的計(jì)算機(jī)網(wǎng)絡(luò)不管是使用以太網(wǎng)技術(shù)，還是使用ATM技術(shù)，都要通過路由器實(shí)現(xiàn)，否則就不能夠正常運(yùn)行和管理，并且路由器也成為了現(xiàn)代職業(yè)技術(shù)學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)課程中的重點(diǎn)教學(xué)內(nèi)容。但是由于計(jì)算機(jī)網(wǎng)絡(luò)課程具有較強(qiáng)的理論性，要使學(xué)生不僅能夠理解網(wǎng)絡(luò)理論，還要使學(xué)生能夠?qū)嶋H操作。所以本文就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)過程中的路由器端口安全配置進(jìn)行了全面的研究。

1 路由器的功能和工作原理

路由器動(dòng)作主要包括兩個(gè)基本的內(nèi)容，分別為轉(zhuǎn)發(fā)和尋徑，尋徑指的是在判定到達(dá)目的地之后的最佳路徑，通過路由算法進(jìn)行實(shí)現(xiàn)。為了能夠?qū)崿F(xiàn)最佳路徑的判定，路由選擇算法要啟動(dòng)具有路由信息的路由表，其中的路由信息和使用的路由選擇算法并不相同。路由選擇算法是將不同的路由信息在路由表中填寫，根據(jù)路由表能夠?qū)⒛康木W(wǎng)絡(luò)和之后的關(guān)系告訴路由器。路由器之間的互通信息通過路由進(jìn)行更新，從而使其能夠?qū)⒎磻?yīng)網(wǎng)絡(luò)的拓?fù)渥兓娴姆从吵鰜?，并且通過路由器利用量度實(shí)現(xiàn)最佳路徑的維護(hù)。轉(zhuǎn)發(fā)指的是根據(jù)尋徑之后的路徑到信息分組中傳送，首先路由器在路由表中進(jìn)行查找，判斷是否了解如何能夠?qū)⒎纸M發(fā)送到下個(gè)站點(diǎn)中，如果路由器無法發(fā)送分組，那么就會(huì)將分組丟棄，要不然就通過路由表匯總的表項(xiàng)將分組到下個(gè)站點(diǎn)進(jìn)行發(fā)送[1]。

網(wǎng)絡(luò)設(shè)備通過設(shè)備網(wǎng)絡(luò)地址實(shí)現(xiàn)通信，IP地址屬于和硬件地址沒有關(guān)系的邏輯地址，路由器通過 IP地址實(shí)現(xiàn)數(shù)據(jù)的轉(zhuǎn)發(fā)，其結(jié)構(gòu)主要包括定義網(wǎng)絡(luò)號(hào)和定義網(wǎng)絡(luò)中主機(jī)號(hào)。目前在計(jì)算機(jī)網(wǎng)絡(luò)中使用子網(wǎng)掩碼實(shí)現(xiàn)IP地址中網(wǎng)絡(luò)地址和主機(jī)地址的確定，子網(wǎng)掩碼和IP地址都是32bit，并且兩者相互對(duì)應(yīng)，沒有規(guī)定，子網(wǎng)掩碼的數(shù)字為1，其對(duì)應(yīng)的IP地址為網(wǎng)絡(luò)號(hào)，子網(wǎng)掩碼的數(shù)據(jù)為0，其對(duì)應(yīng)的IP地址為主機(jī)號(hào)。網(wǎng)絡(luò)號(hào)不同的IP地址無法直接的通信，就算相互連接也不能夠進(jìn)行通信。路由器的端口較多，其主要目的就是和子網(wǎng)進(jìn)行相互連接，不同端口 IP地址中的網(wǎng)絡(luò)號(hào)要求能夠和相互連接的 IP子網(wǎng)網(wǎng)絡(luò)號(hào)相同，不同端口的網(wǎng)絡(luò)號(hào)也是各不相同，其對(duì)應(yīng)的 IP子網(wǎng)也各不相同，從而使子網(wǎng)中的主機(jī)能夠通過自身子網(wǎng)中的IP地址將需求的IP分組在路由器中傳送[2-3]。

2 路由器端口的安全配置

路由器安全配置的原則和目標(biāo)就是防止對(duì)路由器的未經(jīng)授權(quán)進(jìn)行訪問、防止對(duì)網(wǎng)絡(luò)的未經(jīng)授權(quán)進(jìn)行訪問、防止網(wǎng)絡(luò)數(shù)據(jù)竊聽和防止欺騙性路由更新。

2.1 本地口令安全配置

路由器端口的安全配置實(shí)驗(yàn)在cisco環(huán)境模擬軟件中實(shí)現(xiàn)，路由器端口安全配置的步驟為：首先，通過“Boson Ntework Designer”實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)涞膭?chuàng)建，選擇2621型作為本節(jié)需要配置的路由器，選擇1912型交換機(jī)，在文件中將創(chuàng)建之后的網(wǎng)絡(luò)拓?fù)溥M(jìn)行保存；其次，將“Boson NetSim”進(jìn)行驅(qū)動(dòng)，之后點(diǎn)擊File將設(shè)計(jì)之后的拓?fù)鋱D文件進(jìn)行加載；之后，在R2621中輸入enable命令，從而進(jìn)入到特權(quán)模式中，之后輸入config terminal命令，進(jìn)入到配置模式中，根據(jù)向?qū)?shí)現(xiàn)配置，圖1為配置界面中的登錄路由器賬號(hào)和密碼，將默認(rèn)的賬號(hào)和密碼admin進(jìn)行輸入，也可以根據(jù)說明書實(shí)現(xiàn)配置。根據(jù)設(shè)置向?qū)нM(jìn)行設(shè)置，選擇上網(wǎng)方式，一般要用戶都會(huì)選擇PPPoE，如果其他網(wǎng)絡(luò)服務(wù)網(wǎng)可以根據(jù)自身的實(shí)際情況進(jìn)行選擇。其中PC1的IP地址為172.16.1.1，子網(wǎng)掩碼為 255.255.255.0，網(wǎng)關(guān)為 172.16.1.254；之后輸入命令行為ipconfig/ip 172.16.1.1 255.255.255.0 ipconfig/dg 172.16.1.254；PC2的 IP地址為 172.16.1.2，子網(wǎng)掩碼為 255.255.255.0.網(wǎng)關(guān)為172.16.1.254；PC3的 IP地址為 172.16.1.3，子網(wǎng)掩碼為255.255.255.0.網(wǎng)關(guān)為172.16.1.254；PC1-1的IP地址為172.16.4.1，子網(wǎng)掩碼為255.255.255.0.網(wǎng)關(guān)為172.16.4.254；PC2-1的IP地址為 172.16.4.2，子網(wǎng)掩碼為 255.255.255.0.網(wǎng)關(guān)為 172.16.4.254；PC3-1的IP地址為172.16.4.3，子網(wǎng)掩碼為255.255.255.0.網(wǎng)關(guān)為172.16.4.254；IP地址通過內(nèi)部網(wǎng)中的地址范圍實(shí)現(xiàn)子網(wǎng)的劃分。最后，進(jìn)入到無線設(shè)計(jì)的無線安全設(shè)置，選擇WPA2-PSK模式，加密規(guī)則使用AES，設(shè)置無線網(wǎng)絡(luò)密鑰，在設(shè)置之后對(duì)路由器進(jìn)行重啟，然后輸入新的密碼進(jìn)行連接，整個(gè)網(wǎng)絡(luò)的設(shè)備都會(huì)保存在相應(yīng)的文件中[4-5]。

2.2 多級(jí)權(quán)限配置

在缺省條件下，IOS只能夠具有一個(gè)超級(jí)權(quán)限口令，能夠配置多個(gè)級(jí)別的權(quán)限和口令，通過級(jí)別口令登錄用戶的設(shè)置，從而允許用戶實(shí)現(xiàn)其中命令。多級(jí)權(quán)限配置的步驟為：

首先，在全局設(shè)置模式中設(shè)置某條命令為某個(gè)級(jí)別：

privilege mode level

No privilege mode level

圖1 配置界面中的登錄路由器賬號(hào)和密碼

IOS能夠定制16個(gè)級(jí)別權(quán)限（0-15），數(shù)字越大，表示權(quán)限越高，權(quán)限較高的級(jí)別能夠繼承低權(quán)限中的命令。

其次，設(shè)置級(jí)別口令：

Enable secret level

利用多級(jí)權(quán)限，能夠通過管理需求，賦予工作相應(yīng)的權(quán)限。

路由器能夠防范多種攻擊，比如：其一，Smurf攻擊。阻止從自身網(wǎng)絡(luò)中發(fā)起的Smurf攻擊，并且還能夠避免自身網(wǎng)絡(luò)作為中間代理，如果沒有必須要對(duì)外發(fā)送廣播數(shù)據(jù)包的時(shí)候，就能夠在路由器接口中設(shè)置禁止直接廣播。其二，防止外部源路由欺騙。源路由的選擇指的是通過數(shù)據(jù)鏈層信息作為數(shù)據(jù)包實(shí)現(xiàn)路由選擇，此技術(shù)跨過了網(wǎng)絡(luò)層路由信息，使入侵人員能夠作為數(shù)據(jù)報(bào)制定的非法路由，從而使原本要發(fā)送到合法目的的數(shù)據(jù)報(bào)從到入侵者的制定地址，所以就要使用源路由命令進(jìn)行禁止，其命令為：no ip source-route。

3 路由器的安全維護(hù)

在科技如此發(fā)達(dá)的現(xiàn)代，通過路由器漏洞導(dǎo)致攻擊的事件不斷發(fā)生，路由器攻擊會(huì)導(dǎo)致 CPU周期出現(xiàn)浪費(fèi)，對(duì)信息流量進(jìn)行誤導(dǎo)，并且使網(wǎng)絡(luò)出現(xiàn)異常設(shè)置癱瘓。所以就要使用針對(duì)性的安全措施對(duì)路由器的安全進(jìn)行保護(hù)。其一，降低口令問題。據(jù)相關(guān)研究表示，有大部分的安全事故都是通過口令較為薄弱導(dǎo)致的，不法人員通過較為薄弱的口令或者默認(rèn)口令對(duì)路由器進(jìn)行攻擊，實(shí)現(xiàn)口令的加長或者選擇時(shí)間較長的口令能夠有效避免此種問題的發(fā)生；其二，將IP直接廣播進(jìn)行關(guān)閉。Smurf攻擊屬于拒絕服務(wù)攻擊，供給人員通過假的源地址對(duì)網(wǎng)絡(luò)廣播發(fā)送請(qǐng)求，從而使主機(jī)對(duì)其進(jìn)行相應(yīng)，以此降低網(wǎng)絡(luò)的性能，所以就要將 IP直接廣播進(jìn)行關(guān)閉；其三，關(guān)閉不必要的服務(wù)。要想有效提高路由器在使用過程中的安全性，就要將不必要的服務(wù)進(jìn)行關(guān)閉或者禁用；其四，實(shí)現(xiàn)邏輯訪問的限制。邏輯訪問的限制主要是通過訪問控制列表的合理處置，對(duì)終端會(huì)話進(jìn)行遠(yuǎn)程限制，以此組織黑客得到系統(tǒng)邏輯訪問，要想避免出現(xiàn)此種問題，就要在路由器中的虛擬終端端口添加訪問列表[6]。

4 結(jié)束語

人們?cè)谡劶熬W(wǎng)絡(luò)安全問題的時(shí)候就會(huì)想到路由器，其能夠組織外網(wǎng)計(jì)算機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊。但是在現(xiàn)代科學(xué)技術(shù)不斷發(fā)展的社會(huì)中，全新的安全形勢(shì)對(duì)于網(wǎng)絡(luò)的安全性也提出了全新的考驗(yàn)，網(wǎng)絡(luò)管理人員就要對(duì)技術(shù)進(jìn)行技術(shù)的更新，使用有效的應(yīng)對(duì)措施保證網(wǎng)絡(luò)的穩(wěn)定暢通。路由器在網(wǎng)絡(luò)中的具有重要的現(xiàn)實(shí)作用，其在網(wǎng)絡(luò)層進(jìn)行工作，能夠確定網(wǎng)絡(luò)中數(shù)據(jù)包的目的地址，并且將數(shù)據(jù)包發(fā)送到目的地中，并且還能夠?qū)崿F(xiàn)數(shù)據(jù)包的過濾。所以，計(jì)算機(jī)專業(yè)學(xué)生要全面掌握路由器端口的安全配置，以此有效提高網(wǎng)絡(luò)使用過程中的安全性。

[1]涂昌生．路由器控制端口多設(shè)備訪問功能研究[J]．電腦編程技巧與維護(hù)，2016．

[2]田安紅，付承彪．虛擬化網(wǎng)絡(luò)平臺(tái)下靜態(tài)路由選擇研究[J]．實(shí)驗(yàn)技術(shù)與管理，2014．

[3]秦曉航．議計(jì)算機(jī)網(wǎng)絡(luò)中路由器的應(yīng)用與配置[J]．城市建設(shè)理論研究：電子版，2014．

[4]阮燦華，陳秋妹，林大輝．虛擬化網(wǎng)絡(luò)平臺(tái)下的負(fù)載平衡動(dòng)態(tài)路由選擇研究[J]．智能計(jì)算機(jī)與應(yīng)用，2016．

[5]劉文杰，韓利華，楊新鋒．網(wǎng)絡(luò)攻擊下端口安全保護(hù)建模仿真[J]．計(jì)算機(jī)仿真，2016．

[6]楊文福．仿真軟件Packet Tracer在動(dòng)態(tài)路由協(xié)議教學(xué)中的運(yùn)用[J]．當(dāng)代教育實(shí)踐與教學(xué)研究，2016．