基于路由器的网络安全

基于路由器的网络安全（共12篇）

基于路由器的网络安全 篇1

本文主要讨论在路由器上进行规则设定, 对通过路由器路由的数据包进行选择, 阻挡不匹配安全规则的数据包, 使路由器能够实现对不安全网络数据包的过滤, 解决一些日常工作中遇到的网络安全问题。

1 理解网络安全

为了深入的理解网络安全, 不得不涉及安全包括的5个基本要素:保密性、完整性、可用性、可控性和可审查性。

1.1 攻击行为对网络安全的影响

由于任何网络, 包括公网和私有网, 都可能存在安全威胁。目前网络安全的影响主要表现在:

对网络资源的非授权访问。表现形式:假冒, 身份攻击, 非法用户进入网络系统进行违法操作, 合法用户以未授权方式进行操作等。

信息泄漏或丢失:指私有数据在有意或无意中被泄漏出去或丢失。

破坏数据完整性:以非法手段取得对数据的控制使用权, 删除、修改、插入或重发某些重要信息, 修改数据, 干扰用户的正常使用。

干扰正常网络功能:它不断对网络服务系统进行干扰, 改变其正常的作业流程, 极大地影响正常用户的使用。

利用网络传播病毒:通过网络传播计算机病毒, 导致用户数据和计算机系统遭受致命破坏。

1.2 网络的安全策略

网络安全策略定义了一个机构对于如何使用计算机和网络设施, 以提供更好的服务和更高的生产力, 同时也规定防范和对应安全威胁的措施。在开始规划网络安全之前, 应该先制定网络安全策略。没有正确的安全策略, 很难建立起功能完善、可操作性强的安全网络。

1.2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限, 防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

1.2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和非法访问, 它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。但访问控制可以说是保证网络安全最重要的核心策略之一, 主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测及锁定控制、网络端口及节点的安全控制、防火墙控制。

1.2.3 网络安全管理策略

在网络安全中, 除了采用上述技术措施之外, 加强网络的安全管理, 制定有关规章制度, 对于确保网络的安全、可靠地运行, 将起到极其重大的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围, 制订有关网络操作使用规程和人员出入机房管理制度, 制定网络系统的维护制度和应急措施等。

2 访问控制安全机制及有关模型

访问控制, 作为提供信息安全保障的主要手段及最为突出的安全机制, 被广泛地应用于路由器、防火墙、文件访问、VPN (虚拟专用网) 及物理安全等多个方面。

访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体和访问客体的访问权限。访问包括读取数据、更改数据、运行程序、发起连接等, 从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表用户的程序能做什么操作及能够做到什么程度。

访问控制的两个重要过程:

1) 通过“鉴别” (authentication) 来检验主体的合法身份;

2) 通过“授权” (authorization) 来限制用户对资源的访问级别。

根据实现的基本理念不同, 访问控制可分为以下两种:强制访问控制 (MAC:mandatory access control) 和自主访问控制 (DAC:discretionaryaccess control) 。

2.1 访问控制应用类型

根据应用环境的不同, 访问控制主要有以下3种:

1) 网络访问控制:限制用户可以建立什么样的连接以及通过网络传输什么样的数据, 例如网络防火墙。

2) 主机操作系统访问控制:操作系统借助访问控制机制来限制对文件及系统设备的访问, 例如Windows操作系统。

3) 应用程序访问控制:嵌入应用程序中, 以提供更细粒度的数据访问控制, 例如Oracle数据库。

2.2 访问控制模型

根据访问控制的相关理论, 目前比较成熟的访问控制模型包括BLP (Bell-La Padula) 安全模型、Lattice安全模型、Biba完整性模型、Chinese Wall模型。

BLP保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型。该模型基于强制访问控制系统, 以数据的敏感度来划分资源的安全级别。BLP模型允许用户读取安全级别比他低的资源;相反地, 写入对象的安全级别只能高于用户级别。

Lattice模型通过划分安全边界对BLP模型进行了扩充, 它将用户和资源进行分类, 并允许它们之间交换信息。安全的焦点是在不同的安全集束间控制信息的流动, 对不同安全集束中的客体也进行安全等级划分, 而不仅是垂直检验其敏感级别。

Biba模型基于两种规则来保障数据的完整性和保密性, 强调的是资源的完整性。

下读 (NRU) 属性, 主体不能读取安全级别低于它的数据。

上写 (NWD) 属性, 主体不能写入安全级别高于它的数据。

因此, 只有用户的安全级别高于资源的安全级别时可对资源进行写操作;相反地, 只有用户的安全级别低于资源的安全级别时可读取该资源。

Chinese Wall模型是应用在多边安全系统中的安全模型, 应用在可能存在冲突的组织中。基础是客户访问的信息不会与目前他们可支配的信息产生冲突。

3 用访问控制列表构建安全体系

一种流行的方法是在网络边缘上部署防火墙, 将来自攻击者的端口扫描和恶意数据流阻挡在企业网络的大门之外。尽管边缘防火墙是实现网络安全的不可缺少的工具, 但是它们对于阻止来自网络内部的攻击却无能为力。对于用户来说, 仅仅在网络边缘部署防火墙, 一次故障或一次错误的配置就可能危及整个网络。

为了化解这些风险, 根据访问控制模型理论, 网络需要实施分层次的安全战略, 即所谓的“纵深防御”, 将网络分为不同密级的网段。而目前实现不同网段间网络安全的一种有效途径是在网络中的路由器上使用访问控制列表 (ACL) 。ACL通过对网络资源进行访问输入和输出控制, 确保网络设备不被非法访问或被用作攻击跳板。使用适当的ACL可以帮助用户有效减少安全风险。

由于路由器是一种多端口设备, 它按照协议和网络信息负责不同网段间数据包的转发。在网络层, 当路由器遇到一个IP包时, 它便检查IP包中的目的IP地址, 并与路由选择表中的项目进行比较。如果匹配, 路由器则依照路由选择表中的指示转发IP包;如果不匹配, 并且没有缺省的路由选择, IP包便被过滤掉。在传输层, 路由器利用TCP (传输控制协议) 报头中的源端口号、目的端口号和TCP标志 (如SYN和ACK标志) 进行包过滤。路由器可以阻塞广播信息和不知名地址的传输, 达到保护内部网络安全的目的。本文以Cisco路由器的IOSV12.0为标准。

3.1 访问控制列表的作用

访问控制列表是应用在路由器接口的指令列表, 这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。在路由器的接口上配置访问控制列表后, 可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。当我们要想阻止来自某一网络的所有通信流量, 或者允许来自某一特定网络的所有通信流量, 或者想要拒绝某一协议的所有通信流量时, 可以使用访问控制列表来实现这一目标。

3.2 访问控制列表实现方法

首先在全局配置模式下定义访问列表, 然后将其应用到接口中, 使通过该接口的数据包需要进行相应的匹配, 然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理, 它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配, 则继续检测列表中的下一个语句。在执行到访问列表的最后, 还没有与其相匹配的语句, 数据包将被隐含的“拒绝”语句所拒绝。

3.3 通配符掩码

通配符掩码是一个32 bit的数字字符串, 它被用点号分成4个8 bit组, 每组包含8 bit。在通配符掩码位中, “0”表示“检查相应的位”, “1”表示“不检查相应的位”。通配符掩码与IP地址是成对出现的。

IP子网掩码与通配符掩码工作原理是不同的。在IP子网掩码中, 数字1和0用来决定是网络、子网, 还是相应的主机的IP地址。如表示192.168.0.0这个网段, 使用通配符掩码应为0.0.255.255。在通配符掩码中, 可以用255.255.255.255表示所有IP地址, 因为全为1说明所有32位都不检查相应的位, 这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配, 这样只表示一个IP地址, 可以用host表示。所以在访问控制列表中, 可以选择其中一种表示方法来说明网络、子网或主机。

4 路由器访问控制列表配置实例

例1:禁止HTTP (超文本传输协议) 服务。

router (config) #no ip http server

如果启用了HTTP服务, 则需要对其进行安全配置:设置用户名和密码, 采用访问列表进行控制。

例2:IP欺骗的简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址 (127.0.0.0/8) , RFC1918私有地址, DHCP (动态主机设置协议) 自定义地址 (169.254.0.0/16) , 科学文档作者测试用地址 (192.0.2.0/24) , 不用的组播地址 (224.0.0.0/4) , Sun公司的古老的测试地址 (20.20.20.0/24;204.152.64.0/23) , 全网络地址 (0.0.0.0/8) 。

例3:采用访问列表控制流出内部网络的地址必须是属于内部网络的。

例4:DDo S (分布式拒绝服务攻击) 的防范 (The SubSeven DDo S system and some variants) 。

基于路由器的网络安全 篇2

路由器的一个重要功能是路由的管理和维护，目前具有一定规模的网络都采用动态的路由协议,常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后，会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏，也可能由于向网络发送自己的路由信息表，扰乱网络上正常工作的路由信息表，严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式，就会鉴别路由信息的收发方。

2. 路由器的物理安全防范。

路由器控制端口是具有特殊权限的端口，如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。

3. 保护路由器口令。

在备份的路由器配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。一旦密码泄漏，网络也就毫无安全可言。

4. 阻止察看路由器诊断信息。

关闭命令如下： no service tcp-small-servers no service udp-small-servers

5. 阻止查看到路由器当前的用户列表。

关闭命令为：no service finger。

6. 关闭CDP服务。

在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。

7. 阻止路由器接收带源路由标记的包，将带有源路由选项的数据流丢弃。

“IP source-route”是一个全局配置命令，允许路由器处理带源路由选项标记的数据流。启用源路由选项后，源路由信息指定的路由使数据流能够越过默认的路由，这种包就可能绕过防火墙。关闭命令如下： no ip source-route。

8. 关闭路由器广播包的转发。

Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板，占用网络资源，甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。

9. 管理HTTP服务。

HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP，一定要使用访问列表“ip http access-class”命令，严格过滤允许的IP地址，同时用“ip http authentication ”命令设定授权限制。

10. 抵御spoofing(欺骗) 类攻击。

使用访问控制列表，过滤掉所有目标地址为网络广播地址和宣称来自内部网络，实际却来自外部的包。 在路由器端口配置： ip access-group list in number 访问控制列表如下： access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包，在类似环境中使用时要有充分的认识。

11. 防止包嗅探。

黑客经常将嗅探软件安装在已经侵入的网络上的计算机内，监视网络数据流，从而盗窃密码,包括SNMP 通信密码，也包括路由器的登录和特权密码，这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议，请使用SSH 或 Kerberized Telnet，或使用IPSec加密路由器所有的管理流。

12.校验数据流路径的合法性。

使用RPF (reverse path forwarding)反相路径转发，由于攻击者地址是违法的，所以攻击包被丢弃，从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。

13. 防止SYN 攻击。

目前，一些路由器的软件平台可以开启TCP 拦截功能，防止SYN 攻击，工作模式分拦截和监视两种，默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求，并且代替服务器发送一个SYN-ACK报文，然后等待客户机ACK。如果收到ACK，再将原来的SYN报文发送到服务器; 监视模式：路由器允许SYN请求直接到达服务器，如果这个会话在30秒内没有建立起来，路由器就会发送一个RST,以清除这个连接。) 首先，配置访问列表，以备开启需要保护的IP地址: access list [1-199] [deny permit] tcp any destination destination-wildcard 然后，开启TCP拦截： Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch

14. 使用安全的SNMP管理方案。

SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面，安全性低，不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令： snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码，这是提高整体安全性能的有效手段。

综述：

基于WSN带状网络路由协议研究 篇3

关键词：无线传感器网络（WSN）；LEACH协议；拓扑结构；带状网络

中图分类号：TN929.5 文献标识码：A 文章编号：1674-7712（2012）14-0052-02

一、概述

二、路由协议分析

LEACH协议通过随机选举簇头避免了簇头过分消耗能量；通过簇头的数据融合有效减少了通信量，从而提高了网络生存时间。但该协议采用单跳通信，扩展性差，虽然传输时延较小，但要求节点具有较大通信功率，不适合大规模应用；即使在小规模网络中，离汇聚节点较远的节点由于采用大功率通信会消耗大量能量，导致生存时间较短；而且频繁的动态拓扑结构变化和大量额外的广播也会耗费很多能量。

（二）LEACH协议能量模型

（三）LEACH协议的不足

LEACH协议虽然是分簇类协议有着不可替代的优势，但仍有一些地方有待商榷，直接应用于长带状状网络还是有很多不适应的地方，仍需要根据具体的应用环境进行相应的改进。

（1）簇头的选择只遵循等概率，而没有考虑节点的剩余能量，如果一个能量较低的节点被选作簇头，就很容易因大工作量耗尽能量而失效，因而缩短了网络的生命周期。

（2）簇头是选取随机的，无法保证簇头节点的合理分布，如果某区域附近没有簇头节点时，该区域内的节点就要选择加入距离较远的簇，这样就增加簇头和簇内节点的通信距离，使得能量消耗增大。

（3）所有的簇头都是直接与汇聚节点通信，那么离汇聚节点越远的簇头能量就消耗得越快，生存时间就越短，整个网络也因此受到影响。工作面环境复杂，通信距离经过实测也就30m左右，每个节点都直接与汇聚节点通信是不可能的。如果只是简单的其之间采用多跳路由，那么离汇聚节点较近的节点因为多轮多次转发其他簇头的数据，能量消耗的更多。而且网络规模越大，节点数目越多，死亡越快，从而影响网络的生命周期。同时，由于数据向一个方向传输，会形成一头大一头小的“棒槌”式结构，这必然造成能量的不均衡分布。

四、改进的路由协议研究

（二）算法设计

L-P协议也是基于分簇的路由协议，但不同于LEACH，由于网络呈长带状分布，若采用单跳路由形式，距离汇聚节点远的节点能量很容易耗尽。故该协议采用簇间单跳的动态方式传递信息。簇头一旦确定，簇便随机建立，每簇的簇头就成为中继节点。这样就由簇头节点组成了多条能够遍历整个区域的簇头链，但路径质量和通信代价良莠不齐，而不同的无线传感器网络对于传输路径的能耗或可靠性的要求各有高低。因此通过对每条候选路径的能耗或丢包率的比较，最终确定一条符合要求的簇头链。如果数据融合量很小，数据流就会呈“棒槌”状，越靠近汇聚节点数据量越大，造成的“热区”问题。故本文利用非均匀分簇的思想，越靠近汇聚节点簇的规模越小，来解决“热区”问题，平衡整个网络的负载，提高网络的生存时间达到增加网络寿命的目的。

五、仿真与分析

六、结论

丢包率和存活节点数是衡量无线传感器网络可靠性和网络生命周期的重要指标。L-P协议在这两方面都要优越于LEACH协议，改进后的簇首选择机制，非均匀成簇方式和簇间通信机制的确提高了网络和协议可靠性，延长了网络生命周期。由此可见，改进后的L-P协议更适应带状网络的无线通信应用。

参考文献：

[1]任丰源，黄海宁，林闯，无线传感器网络[J].软件学报，2003，14（7）：1278-1291.

[2]李成法，陈贵海，叶懋，吴杰.一种基于非均匀分簇的无线传感器网络路由协议[J].软件学报，2007，30（1）：27-36．

基于路由器的网络技术 篇4

一、路由器的基本概念

1977年，国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI), OSI参考模型采用分层结构技术，将整个网络的通信功能分为职责分明的七层，由高到低分别是：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成，即应用层、传输层、网络层、数据链路层、物理层。只有对等层才能相互通讯，一方在某层上的协议是什么，对方在同一层次上也必须采用同一协议。路由器就工作在TCP/IP模型的第三层(网络层)，主要作用是为收到的报文寻找正确的路径，并把它们转发出去。

二、路由器的基本构成部分

1. 两个或两个以上的接口(用于连接不同的网络)。

2. 协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。

3. 至少支持两种以上的子网协议(异种网)。

4. 一组路由协议。

三、路由器的基本功能

1. 存储、转发、寻径功能。

2. 路由功能。包括数据包的路径决策、负载平衡、多媒体传输(多播)等。

3. 智能化网络服务。包括QOS、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。

四、路由器的分类

按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。

1. 高端路由器。

位于WAN骨干网的中心或骨干位置，构成IP网络的核心。

2. 中端路由器。

适合于有分支机构的中小型企业，一般位于路由中心位置上，互连企业网的各个分支机构，并作为企业网的出口，上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说，中端路由器是其网络的中心。

3. 低端路由器。

主要针对派出机构，接口少，处理能力要求不高等场合。

4. 专用路由器。

如VPN路由器、加密路由器、语音路由器，通过特殊的附加(软)硬件实现特定功能。

五、主要技术分析

IPv6是IP的一种新的版本，它同目前广泛使用的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3×109个增加到4.3×1038个。经由IPv6，路由数可以减少一个数量级。

IPv6所以能使互联网连接许多东西变得简单而且使用容易，是因为它使用了以下技术。

1. 地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。

IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向。

2. 提高路由器吞吐量的技术。

路由器的吞吐量是指路由器单位时间内能够转发的报文数，通常用PPS (Packet Per Second)表示。以一个典型的企业网为例，一个派驻机构的上行速率有2000PPS就够了，分支的核心路由设备必须具有几万PPS的吞吐能力，而公司总部的路由中心则可能需要几十万甚至上百万PPS的处理能力。

目前主要有下面的提高路由器吞吐量的技术：改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/A-SIC)转发等。交换式路由器(Switch Router)就是利用这些技术的结晶。

3. 可编程ASIC技术。

ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大，ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求，出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU，通过改写微码，使其具有处理不同协议的能力。

4. VPN技术。

VPN (Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN，像企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。

“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴，企业内部资源享用者只需连入本地ISP的POP (Point of Presence，接入服务提供点)即可相互通信;而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以。

常见的VPN分为三种类型：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet，以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

5.QOS (Quality Of Service）。

QOS是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛，话音、电子商务、远程教育等。传统的数据网对业务是不区分的，当网上数据流量比较大时话音质量将急剧下降，某些重要的公司业务流也将受到影响。QOS就是要区别对待这些业务，提高网络的服务质量。

QOS包含的流分类是将接入的用户数据按业务进行分类，赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制，使之符合QOS协定;流量工程则是从全网管理的高度保障QOS。

6. MPLS (Multi Protocol Label Switch）———多协议标记交换。

IP的发展存在着一个非常明显的障碍，这是由IP本身固有的一个缺陷决定的，IP是一个无连接的协议，因此IP网上的应用无法得到很好的QOS保证。由于缺乏连接性，每一个IP包都是单独地发到目的地的，网络中的各个节点都无从知晓这些无连接的包中的某一个是如何到来的。与此相比，面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点和干线可以先为其预留资源，以提供QOS保证。IP具有其它网络协议所无法比拟的灵活性，这一点通过Interne已经得到了证明，而面向连接的协议可以保证QOS，因此这两种协议的结合是非常有意义的，这就导致了MPLS的产生。

MPLS将IP的灵活性和帧中继、ATM等面向连接网络的QOS保证特性有效地结合在了一起，这对于IP的进一步广泛应用无疑有着巨大的推动作用。

7. 多播技术。

多播(Multicast)主要用于视频会议等应用场合，这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址，即从224.0.0.0到239.255.255.255的多播地址。每个多播地址代表一个多播组，而不是一台主机。IGMP (Interne组管理协议)用于控制用户加入或离开多播组，多播路由协议则用于建立多播路由表，或称多播树。

如果一个局域网中有一个用户通过IGMP宣布加入某多播组，则局域网中的多播路由器就将该信息通过多播路由协议进行传播，最终将该局域网作为一个分枝加入多播树。当局域网中的所有用户退出该多播组后相关的分枝就从多播树中删掉。

多播路由协议有下列几种。DVMRP：距离向量多播路由协议;MOSPF：多播OSPF;CBT：基于核的树;PIM：协议无关的多播。

多播网中可能有不支持多播的路由器，此时多播路由器使用“IP over IP”的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器先将单播IP头剥掉，然后继续进行多播传输。

8. 网管系统。

网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多，与路由器产品相关的网管协议主要有SNMP、RMON等，其中SNMP最常见。SNMP采用代理(Agent)工作方式，设备侧(路由器上)运行Agent，网管站运行管理软件。代理的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等)，回答网管站对这些信息的查询;传达网管站的设置命令，如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

以上对目前基于路由器的网络技术进行了介绍。上网用户越来越多，宽带网建设如火如荼，对路由器技术更新的要求会越来越强烈。我们相信，通过业界同仁的不懈努力，未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

摘要：本文首先介绍了路由器的基本概念和分类方法。在此基础上, 重点对IPv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QOS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的技术进行了全面的分析, 对这些技术的发展作了高度的概括和总结。

关键词：路由器,基本概念,分类,网络技术

参考文献

[1]张公忠.现代网络技术教程[M].电子工业出版社, 2000.1.

[2]宋文官, 蔡京玖.计算机网络基础[M].中国铁道出版社, 2007.

维护路由器的安全性 篇5

管理路由器从你怎样配置它们开始。如果你没有一个作为基准的配置文档来告诉你怎样具体配置你的路由器，你就需要创建一个。

如果你需要帮助，可以访问national security agencys guidelines(www.nsa.gov/snac/downloads_all.cfm) 。在这里，你可以得到一些内容广泛的指南，这些指导信息可以提供一个非常好的开始点。

创建和为路由器编制文档会在安全地管理路由器的配置方面为你提供最关键的步骤：安全地装载并存储初始的基准配置是基本要素。

理想情况下，你应该从一个控制台执行初始的配置并将其存储在一个网络驱动器上。最重要的是，不要将其存储在便携式电脑的本地驱动器上。移动计算设备（也就是说，便携式电脑，pda设备，存储卡等）很易被窃取或丢失，这会损害整个网络的完整性和功能性，

在你装载了配置以后，下一步就是使运行配置与启动配置保持同步。但不要认为一旦路由器启动完成并可在网络上运行就万事大吉了，你需要维护这个配置并定期修改。

有一些管理人员喜欢在线修改，而另一些喜欢脱机修改，然后装载此配置。两者各有益处。

若在线修改，你可以获得即时反馈并能进行语法检查。举例来说，如果你拼错了命令，路由器会发出警告。此外，如果你对路由器作了修改，但却引起了网络故障，你就会立即了解这一点。

另一方面，如果你进行脱机修改，你就可以添加评论并能够使用路由配置编辑器。然而，此方法并不提供语法检查或对修改的反馈。

如果你决定使用脱机配置，确保使用安全的配置传输协议。简单文件传输协议(tftp)并不是一个推荐的配置传输方法。只要你想配置用户名或口令，文件传输协议（ftp）或者安全复制协议（secure copy protocol）是传输新配置数据的最安全方法。

不管你怎样管理你的路由器配置更新，最基本的一条是你要保存每一次配置并为所有的修改编制文档资料。这允许你以及其他人能够更好地理解这些修改，并能够在出现故障时检查这些修改。

注意：

浅谈CISCO路由器的网络技术 篇6

关键词 CISCO路由器 工作原理 协议

中图分类号：TP393 文献标识码：A

1 Cisco路由器的组成

Cisco路由器由硬件和软件组成。硬件主要包括中央处理器、内存、接口、控制台端口和辅助端口等；软件主要是路由器的IOS操作系统。

1.1Cisco路由器的硬件组成

图1 Cisco路由器的基本部件

图1展示了Cisco路由器的组成，各部件功能如下：

（1）中央处理器（CPU）；Cisco路由器一般采用Motorola 68030和Orion/R4600两种处理器。路由器的CPU负责路由器的配置管理以及数据包的转发处理工作。路由器处理数据包的速度在很大程度上取决于CPU的处理速度。

（2）内存；Cisco路由器使用几种不同类型的内存，每种内存以不同方式协助路由器进行工作。包括以下四种类型的内存：只读内存（ROM）、闪存（Flash）、易失性RAM（NVRAM）和随机存储器（RAM）。

（3）接口（interface）；每个路由器的接口均有自己的名字和编号。一个接口的全名由它的类型表示以及至少一个数字构成，其编号由数字0开始。路由器接口用作将路由器连接到网络，可以分为局域网接口和广域网接口两种。

（4）控制台端口（console port）；控制台端口提供了一个EIA/TIA-232异步串行接口，用于在本地对路由器进行配置。

（5）辅助端口（Auxiliary Port）；Auxiliary Port提供了一个EIA/TIA-232异步串行接口。它通常用于连接Modem，以实现对路由器的远程管理。

1.2 Cisco 路由器操作系统

Cisco路由器需要依靠IOS（Internetwork Operating Syetem）这个操作系统进行工作。IOS就像是Cisco设备的灵魂一样，它指挥和协调着Cisco设备的硬件进行网络服务和应用的传递。IOS是一种通过命令行方式进行配置的操作系统。通过使用IOS命令，可以为Cisco网络设备进行各种各样的配置，使之适用于各种网络功能。对于不同型号的Cisco设备，由于其硬件结构不同，它们所使用的IOS也不一样。

2 Cisco路由器工作原理

当路由器收到一个网络层数据报时，路由器便要决定是直接转发给与自己相连的网络还是发往另一个路由器，或者丢弃该数据报。路由器利用网络层的源地址和目的地址信息来确定信息发往哪一个网络，如果源网络号和目的网络号在同一个网络中则送到该网络的指定主机。一个信息包到达路由器后先进入队列，然后路由器依次进行如下处理：提取信息包的目的地址，查看路由表，如果到达目的地的路径不止一个，则选择一条最佳路径。另外，路由器在进行选择时还综合了互联网上网络负载、延时、数据报长度、数据报头中规定的服务类型等因素来选择出最优路径。

3 Cisco IOS的基本模式

Cisco的IOS的命令行模式中有四种基本的模式：

3.1用户模式（User mode）

一台新的路由器在启动过程结束后将会看见提示符“router>”，这是访问路由器的最低级模式。此时路由器处于用户命令状态，用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

3.2特权模式（Privileged mode）

在router>提示符下键入enable，路由器进入特权命令状态router#，这时便可以看到和更改路由器的设置内容。用命令disable或exit可以从特权模式退回到用户模式。

3.3全局配置模式（Global mode）

在router#提示符下键入configure terminal，出现提示符router（config）#，此时路由器处于全局设置状态，可以设置路由器的全局参数。

3.4局部配制模式

路由器处于局部设置状态，可以设置路由器某个局部的参数。

在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。IOS常用指令，见表1。

4 Cisco 路由器常用协议

路由协议是路由器转发分组数据的基础，路由协议可以简单的分成内部网关协议和外部网关协议。内部网关协议是在一个自治系统（AS）内部使用的路由选择协议。内部网关协议包括一下几个：路由选择协议（RIIP）；内部网关路由协议（IGRP）；内部网关路由协议（EIGRP）；开发最短路径优先协议（OSPF）。

外部网关协议是相对与内部网关协议，它运行在各个自治系统之间的，是组成广域网不可缺少的部分。最主要的一个协议就是边界网关协议（BGP）。

RIP：最早开发的路由选择协议之一，相对链路状态路由选择协议要简单。它的路由选择是根据距离向量算法来计算的。RIP计算路径方法是使用跳数，即一跳代表一台路由器。最佳路径的选择是根据跳数的大小来决定的。如5跳和6跳相比RIP会选择5跳的路径。

RIP的一个缺陷是最大跳数是15。即目标网络超过了15个路由器跳时，它就会认为网络不可到达。

IGRP与EIGRP：都是CISCO设计的路由协议，仅能够在CISCO的路由器上去实现和部署。也是根据距离向量算法计算路径的，但其度量值不同与RIP，它要考虑带宽，延迟，可靠性等因素。

OSPF：使用链路状态路由选择确定最佳路径。其度量标准有路由器速度，流量，可靠性和安全性等。OSPF也只是在路由表中记录最佳路径而已

nlc202309012207

BGP：BGP是基于策略选路径的，策略是由自治系统管理员制定的。BGP是一个距离向量协议，它与RIP和OSPF的不同在于BGP使用TCP协议作为其传输层协议。两个运行BGP协议的系统建立连接一条TCP连接，然后交换整个BGP路由表，当路由器在发生变化时再发送更新信号。

5 路由器未来的发展

5.1速度更快

传统意义上，路由器通常被认为是网络速度的瓶颈。在局域网速度早已达到上百兆时，路由器的处理速度至多只到几十兆比特率。这几年伴随着因特网的爆炸性增长，大家对路由器的研究也重点体现在提高路由器的处理速度上。不过，IP路由器速度的提高是直接得益于ATM的概念和技术的，在IP领域中提出的许多新概念和新技术也有相当一部分是直接或间接来源于ATM，两种优秀的技术逐渐开始融合。事实上，许多公司从事高速IP路由器研发的技术人员正是过去研究ATM技术的研发人员。

5.2服务质量更好

路由器发展趋势更本质、更深刻的变化是以IP为基础的包交换数据将在未来几年内迅速取代已发展了近百年的电路交换通信方式，成为通信业务模式的主流。这意味着，IP路由器不仅要提供更快的速度以适应急剧增长的传统的计算机数据流量，而且，IP路由器也将逐步提供原电信网络所提供的种种业务。但是传统的IP路由器并不关心也不知道IP包的业务类型，一般只是按先进、先出的原则转发数据包，语音电话数据、实时视频数据、因特网浏览数据等等各种业务类型的数据都被不加区分的对待。由此可见，IP路由器要想提供包括电信广播在内的所有业务，提高服务质量（QOS）是其关键。这也正是目前各大网络设备厂商（包括Cisco，3Com，Nortel等）所努力推进的方向。事实上，QOS不仅是路由器的一个发展趋势，以路由器为核心的整个IP网络都在朝这个方向发展。

5.3管理更加智能

随着网络流量的爆炸性增长，网络规模日益膨胀，以及对网络服务质量的要求越来越高，路由器上的网络管理系统变得日益重要，网络连接已成为日常工作，生活中不可缺的部分。在保证质量的情况下最大限度地利用带宽、及早发现并诊断设备故障，迅速方便地根据需要改变配置，这些网络管理功能都日益成为直接影响网络用户和网络运营商利益的重要因素。在网络协议七层模型中，网络管理属于高层应用，目前各厂家网络管理的一个重要发展趋势是向智能化方向发展。所谓智能化又体现在两个方面，一是网络设备（路由器）之间信息交互的智能化；二是网络设备与网络管理者之间信息交互的智能化，在网络管理智能化的大趋势中，“基于策略的管理”和“流量工程”这两个技术概念是目前最引人注目的。各路由器厂商在新推出的产品中无不标榜自己的网络管理配套系统具有或部分具有这两个方面的功能。

6结论

以上对目前思科路由器的网络技术进行了介绍，相信随着上网用户的越来越多，随着宽带网建设的如火如荼，对路由器技术更新的要求会越来越强烈。路由器在未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

参考文献

[1] 殷礼琨.浅析路由器在网络中的应用[J].科技信息，2010（12）.

[2] 时文成.POS接入路由器在银行中的典型应用[J].中国金融电脑，2009（10）.

[3] 韩荣杰.浅谈关于路由器网络技术的应用[J].科技资讯，2008（28）.

基于路由器的网络技术 篇7

当前, 作为网络核心器件的路由器的不断升级换代。本文从路由器的基本概念和分类入手, 对基于路由器的网络技术进行介绍。

2 路由器的基本概念和分类

计算机网络通信中采用最为普遍的是TCP/IP协议。TCP/IP模型由四个层次组成, 路由器工作在TCP/IP模型的第三层 (网络层) , 主要作用是为收到的报文寻找正确的路径, 并把它们转发出去。

2.1 路由器的基本构成部分

(1) 两个或两个以上的接口 (用于连接不同的网络) ;

(2) 协议至少实现到网络层 (只有理解网络层协议才能与网络层通讯) ;

(3) 至少支持两种以上的子网协议 (异种网) ;

(4) 一组路由协议。

2.2 路由器的基本功能

(1) 存储、转发、寻径功能;

(2) 路由功能。包括数据包的路径决策、负载平衡、多媒体传输 (多播) 等;

(3) 智能化网络服务。包括Qo S、访问列表 (防火墙) 、验证、授权、计费、链路备份、调试、管理等。

2.3 按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次

(1) 高端路由器位于WAN骨干网的中心或骨干位置, 构成IP网络的核心。

(2) 中端路由器适合于有分支机构的中小型企业, 互连企业网的各个分支机构, 并作为企业网的出口。对于中小型企业来说, 中端路由器是其网络的中心。

(3) 低端路由器主要针对派出机构, 接口少, 处理能力要求不高等场合。

(4) 专用路由器:如VPN路由器、加密路由器、语音路由器, 通过特殊的附加 (软) 硬件实现特定功能。

3 主要技术分析

3.1 IPv6技术

IPv6是IP的一种新的版本, 地址由32位扩充到128位。使用IPv6, 路由数可以减少一个数量级。IPv6在路由技术上继承了IPv4的有利方面, 代表未来路由技术的发展方向。

3.2 提高路由器吞吐量的技术

路由器的吞吐量是指路由器单位时间内能够转发的报文数, 通常用pps表示。

目前主要有下面的提高路由器吞吐量的技术:

改造路由表;采用Cache;采用分布式处理;高层交换;硬件转发等交换式路由器就是利用这些技术的结晶。

3.3 可编程ASIC技术

ASIC技术能够使得路由器的速度提高并降低制造成本。ASIC基本上都用于已完全标准化和固化的过程。为了满足机各种结构和协议的频繁变化的要求, 出现了“可编程ASIC”技术, 使其具有处理不同协议的能力。

3.4 VPN技术

VPN虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象现有的私有网络一样能够保证安全性、可靠性和可管理性等。

常见的VPN分为三种类型:远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网。

3.5 MPLS (Multi Protocol Label Switch) ——多协议标记交换

IP是一个无连接的协议, 因此IP网上的应用无法得到很好的Qo S保证。面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点以及干线可以先为其预留资源, 以提供Qo S保证。这两种协议的结合导致了MPLS的产生。

MPLS将IP的灵活性和帧中继、ATM等面向连接网络的Qo S保证特性有效地结合在了一起, 这对于IP的进一步广泛应用无疑有着巨大的推动作用。

3.6 多播技术

多播 (Multicast) 主要用于视频会议等应用场合, 这种应用需要同一份数据同时发送给多个用户。IGMP (Internet组管理协议) 用于控制用户加入或离开多播组, 多播路由协议则用于建立多播路由表。

多播路由协议有下列几种。DVMRP:距离向量多播路由协议;MOSPF:多播OSPF;CBT:基于核的树;PIM:协议无关的多播

多播网中可能有不支持多播的路由器, 此时多播路由器使用“IP over IP”的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器再将单播IP头剥掉, 然后继续进行多播传输。

3.7 网管系统

方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多, 与路由器产品相关的网管协议主要有SNMP、RMON等, 其中SNMP最常见。SNMP采用代理 (Agent) 工作方式。

摘要：本文首先介绍了路由器的基本概念和分类。在此基础上, 重点对Ipv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、MPLS技术、多播技术、网管技术等与路由器相关的技术进行介绍。

基于路由器的网络安全 篇8

伴随着科学技术的发展,信息化建设已经成为推动社会发展的强大动力。在新的世纪,信息技术的竞争将是全球竞争焦点,而信息技术的竞争,主要取决于信息网络的建设水平,尤其是路由器技术作为网络的核心技术之一,将发挥越来越重要的作用。它是局域网与局域网、局域网和广域网之间的通信要塞,是实现网络互连的核心设备。

1 网络处理器的工作原理

为了增强网络处理器的处理能力,缓解链路带宽,且兼顾处理需要的编程性与灵活性,网络处理器本身要具有以下几个方面的功能(1)具备网络分组并行处理的能力。(2)具有高效处理速度,可以实现分组的实时处理。(3)具有一定数量的专用网络协处理器。(4)具备高度可编程性以及可扩展性。(5)能够快速投向市场,尽量减小再开发周期。

总体来说,网络处理器采用的是以下几个硬件网络处理方法:

1)流水线与并行处理技术

网络处理器内部通常是多内核(multi-core)结构。此种内核通常可分两种:一是具备一般水平运算和存储能力的单元Pes(processin elements);另一种则是能够实现特定处理能力的性能模块Fus(function units),如CRC校验等等。现有商业网络处理器当中,以上两种单元通常采用流水线与并行处理这两种机制,当中流水线机制是每个内核被设计为具备特定功能的模块,此类模块以流水线的方式组织起来完成分组处理任务。

2)完善的内存管理与DMA单元

在普遍的多处理器系统当中,内存操作通常是系统开销的大瓶颈。而普通的网络处理器要对分组进行复制和存储等处理,要执行很大量存储操作。

2 网络处理器的体系结构

网络处理器将软件的灵活可定制性同硬件的性能有机的结合到一起,从而使系统设计者能够将主要精力集中在功能的开发上,模块化的设计有效的延长了产品的生命周期,避免了重复性的二次开发。网络处理器实现的典型功能包括:

1)分帧和组帧(SAR)

帧的分解、处理、然后转发而重装。

2)协议识别和分类

帧基于标识信息而被识别,例如协议类型,端口号,目的URL或其他应用或者特定协议信息等。

3)排队和存取控制

一旦帧被识别后,它们被置于适当的队列中以便实现进一步处理,譬如优先处理、流量整形。另外,根据安全存取政策规则对帧进行逐项核对,以便判断它们是否应该转发或丢弃。

4)流量工程

一些协议或应用需要被整形,以保证能达到所要求的延迟或者延时变化的要求,正如流量被释放到电缆或光纤中一样。同时根据其他要求指定不同的通道间流量的优先权,以及消息类型。

5)服务质量Qo S

为了Qo S而适当地进行流量整形,帧可能需要被加上标签,以便在整个网络的范围内实现后继快速处理。

3 安全路由器的系统设计

3.1 路由器安全结构

路由器安全系统主要有四部分:管理/日志服务器、CA认证服务器、路由器的主体及用户终端。其中CA系统主要有CA认证服务器、客户端软件及支撑PKI的服务系统。PKI开发应符合PKIS标准,其中,CA中心有通用中心的一切功能。管理/日志服务器通过专用管理的接口与SR连接,功能主要有:审计、管理界面以及警报机制。管理界面提供了基于GUT风格个远程与本地管理,提供对于路由器集中管理及访问列表的控制,有防火墙配置与监控。

3.2 安全路由器软件结构

安全路由器的主要功能都体现在安全路由器主体(SR)的软件设计上,其中主要包括两个方面的功能:分组的转发和安全的处理。因为路由协议及第3层分组的通用性,在这里不再做详细的介绍,这里重点介绍了路由器安全处理内容中的设计及特点。根据IXP1200处理器的主要特点及软件的设计要求,整个网络系统运用模块化进行划分,这样实现了各模块的独立性,以有助于维护和扩展和。整个设计分为三层:控制平面、数据平面和通信子层。

设计分为三层:控制平面、数据平面和通信子层。

3.3 安全路由器硬件结构

为实现共享并行多处理器交换式体系结构,解决单处理器共享总线式体系结构、多处理器共享总线体系结构、多处理器交换式体系结构存在的问题,安全路由器基于网络处理器来进行设计,具体的硬件体系结构图如下所示:

3.4 重要功能及特点介绍

1)基于PKI的授机认证(用户管理):基于用户名和用户密码的认证系统很容易遭受密码截获、重放和暴力猜测等攻击,安全性能比较差。公开密钥体系和数字签名技术能提供良好的私有性、完整性和抗否认性安全服务,在安全路由器中,若使用公开密钥加密的身份认证,可在用户登录时确保高强度的安全性。

2)基于列表的包过滤(防火墙处理):安全路由器包过滤的功能是对指定IP包进行包过滤,并且按照设定策略对IP包进行统计和日志记录,主要根据IP包的如下信息进行过滤:源IP地址、目的IP地址、协议类型、TCP/UDP端口、ICMP报文类型域和代码域、碎片包以及其它标志位,如SYN、ACK位。

3)强大的IDS功能(策略处理):根据建立的攻击模式库侦察攻击行为,同时记录攻击行为的属性、特征和来源,提供统计分析;使用相应的各种防御措施,中断当前攻击行为,并按照配置的行为作出实时响应,维护系统和数据安全;同时结合带宽管理彻底的防止DDOS的攻击。

4 功能测试

对安全路由器的功能测试主要包括以下三个方面:路由转发功能测试、包过滤功能测试、加解密功能测试。

测试用的网络拓扑结构有两种。一种是单路由器网络,用于测试路由转发功能和包过滤功能,注意路由器不要开启IPSec功能;另一种是双路由网络,用于测试路由器的加解密通信功能,注意两个路由器的IPSec功能开启状态必须相同。测试结果表明,本研究实现了路由器内嵌式的加密功能,支持IPSec,摆脱了路由器外挂加密的传统路由器安全解决方案,保密性好,成本低,效率高。

5 结语

安全路由器基于网络处理器实现,使系统与硬件紧密结合,充分利用网络处理器处理分组快速高效的特点,大大突破了软件防火墙在速度方面的限制。对安全路由器功能的升级也只需要软件升级而不需要开发硬件设备,使用户对安全路由器功能的升级以及网络的维护大大简化。

摘要：随着信息技术和计算机网络的飞速发展,路由器的功能已经从简单的发送向提供灵活的集成服务和区分服务发展,这些都对路由器的硬件、软件体系结构提出了更高的要求。

关键词：安全路由器,网络处理器,系统设计

参考文献

[1]李福林.基于网络处理器的安全路由器设计与实现[D].中国人民解放军信息工程大学,2005.

[2]万玮.基于网络处理器开发环境编译器研究及实现[D].西北工业大学,2006.

[3]徐颖.基于网络处理器IXP2400的千兆防火墙设计与实现[D].清华大学,2005.

基于路由和远程访问的网络安全 篇9

1 网络环境介绍

医院门户网站的数据有两种。一种是静态数据, 这种数据不需要与医院内网数据库进行交互;另一种是动态数据, 这种数据需要与医院内网数据库进行交互。我们把门户网站中有与医院内网数据库进行数据交互的服务 (可能存在漏洞又不能及时解决的服务) , 独立部署在医院业务网站服务器上。在医院业务网站服务器安装2张网卡, 其中1张网卡与互联网门户网站服务器直连, 另外1张网卡与内网的安全隔离设备连接, 通过安全隔离设备与医院内网数据库交互数据。在医院业务网站服务器前端增设1台互联网门户网站服务器充当前置机, 互联网门户网站服务器安装2张网卡, 1张网卡与医院业务网站服务器直连, 另1张网卡与互联网的路由解析器相连, 再接入互联网。网络环境与部署, 见图1。

2 医院业务网站服务器的安全

使用2台不同网段服务器保障医院业务安全。访问互联网门户网站服务器, 通过公布在互联网的域名则能访问到医院的门户网站, 即访问静态数据。如果访问域名加端口号网站, 则会根据路由解析设备做的端口配置, 及路由和远程访问做的配置进行地址转换来访问医院业务网站服务器所部属的网站。这样通过互联网门户网站服务器就能够访问到医院业务网站服务器的数据, 同时医院业务网站服务器也没有直接暴露在互联网下, 即不能直接从互联网访问到医院业务网站服务器的网站, 这在一定程度上保证了医院业务网站服务器的安全。

3 地址转换配置

3.1 路由解析设备的端口配置

路由解析设备的端口配置是对要访问的医院业务网站服务器的端口号进行地址映射[3]。即在端口配置中添加1条配置, 如端口号为8080, 映射到所需访问的网段192.168.19.0 (与医院业务网站服务器网卡1同一网段) 中指定IP地址192.168.19.112, 再添加1条静态路由记录, IP为192.168.19.0, 网关为192.168.1.5 (与互联网门户网站服务器网卡1同地址) 。当访问域名加上端口号时, 路由解析设备就会根据设置好的记录跳转到互联网门户网站服务器的网卡2段中[4]。然后再根据路由和远程访问的配置进行下一步跳转。

3.2 路由和远程访问的配置

在互联网门户网站服务器打开管理工具菜单, 双击“路由和远程访问”, 选择本地服务器的名称, 右键点击“配置并启用路由和远程访问”, 然后根据提示点击下一步, 选择“自定义配置”选项, 点击下一步, 选择“NAT和基本防火墙”, 点击下一步, 再根据提示点击完成, 即已启用路由和远程访问的服务。

我们将互联网网站服务器网卡1命名为Internet, 网卡2命名为Internet-zhilian。在IP路由选择中选择“静态路由”, 右键点击“新建静态路由”。如选择接口Internet, 目标为192.168.1.0网段, 网络掩码为255.255.255.0, 网关为192.168.1.1, 建立Internet静态路由;同样, 选择接口internet-zhilian, 目标为192.168.19.0网段, 网络掩码为255.255.255.0, 网关为192.168.19.122, 建立Internet-zhilian静态路。其界面图, 见图3~4。

在IP路由选择中选择“IGMP”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 启用IGMP属性;同样, 选择接口Internet-zhilian, 启用Internet-zhilian IGMP属性。IGMP属性界面图, 见图5~6。

在IP路由选择中选择“NAT/基本防火墙”, 右键点击“新增接口”, 选择接口Internet, 点击确定, 选择“专用接口连接到专用网络”, 点击确定;同样右键点击“新增接口”, 选择接口Internet-zhilian, 点击确定, 选择“公用接口连接到Internet”, 再选择“在此接口启用NAT”, 点击确定[5]。NAT/基本防火墙示介面图, 见图7~8。

通过上述4个步骤的配置, 即可完成访问域名加端口号从互联网门户网站服务器跳转到访问医院业务服务器。

4 结语

利用路由解析设备及配置Windows server 2003自带的路由和远程访问服务进行配置, 能及时有效地解决防火墙等物理防护设备紧缺时存在的网络安全隐患[6,7,8]。通过系统自带的路由和远程访问服务进行配置能有效地隐藏互联网网站服务器与医院业务网站服务器直连网段, 使医院业务网站服务器没有直接暴露在互联网下, 在一定程度上保障了医院业务网站服务器的安全。

参考文献

[1]陈国耿.利用NAT实现医院局域网连接INTERNET[J].实用医技杂志, 2006, 13 (5) :831-832.

[2]贺抒, 梁昔明.NAT技术分析及其在防火墙中的应用[J].微计算机信息, 2005, (1) :167-168.

[3]李翔, 唐慧.NAT在配置医院连接医保数据中心的应用[J].医疗卫生装备, 2009, 30 (11) :46-47.

[4]刘风华, 丁贺龙, 张永平.关于NAT技术的研究与应用[J].计算机工程与设计, 2006, 27 (10) :1814-1817.

[5]龚晓华.基于NAT的网络防护技术及安全网关的研究[J].电脑知识与技术, 2009, 5 (21) :5676-5677.

[6]欧志文, 伍平阳, 罗志恒, 等.多线路接入医院网络实现多种应用的实践研究[J].中国医疗设备, 2013, 28 (7) :40-42.

[7]谢希仁.计算机网络[M].北京:电子工业出版社, 2010:171-175.

基于路由器的网络安全 篇10

1 机会网络安全路由架构建设的必然性

所谓的机会网络,就是利用大家的各种社会活动所创造的机遇性机会对信息进行传输,其将网络断路当做一种常态,将每一次节点的移动都当做一次新的传输机会,即使面对再恶劣的环境也可以以完全颠覆传统网络的处理方式对数据进行处理,其概念来源极为广泛,与容迟网络、移动的自组织网络以及社会网络等都有着极为密切的关系。从当前社会网络的蓬勃发展来看,机会网络越来越广泛的的应用前景是毋庸置疑,尤其是低成本手持通信设备高速普及的今天,以日常生活中的移动对数据进行传输与共享极为普遍。

由于机会网络是一种公共通信设施,其网络建立在开放式的环境下,在其网络中进行上传或者接受等信息的传输时,随时都有遭受窃听、截取、修改、重放等方式攻击的威胁[2],而传统的网络公钥密码体制对公钥的约束较多,公钥的使用必然要先依赖于所谓的认证中心的可信第三方存在,统一由认证中心为用户颁发公钥证书。因此,公钥证书中认证中心的签名信息就将用户身份与看似随机的公钥信息紧密联系在了预期,所有用户身份与公钥一定要经过认证中心签名才是合法的,因而认证中心成为网络路由架构下的关键核心部门,对用户公钥证书的生命周期中任何一个环节都要负责。此类证书的使用不但耗费了巨大的计算与存储开销,管理工作比较纷繁复杂,而且处于系统中心地位的证书认证机构有着非常高的要求,系统负担极重,最重要的是对用户信息数据保密性不强,安全性存在极大的缺陷[3]。

由此可见,在机会网络中建立起以身份加密的安全路由架构,保护开放性环境下用户资料和数据的安全,是非常有必要的,也是当前信息化社会建设迫切需要解决的问题之一。

2 基于身份加密的机会网络安全路由架构的基本概况

在机会网络中,网路节点都是以“存储-携带-转发”的基本模式对所传输的消息进行路由,任意一个节点都需要通过自身具备的知识来进行计算,做出判断,选用最佳的路由策略。

机会网络根据转发策略的区别可以分为基于散播的路由、基于效用值的路由以及基于移动的路由等3种,其中,最受关注的要数以节点的社会上下文作为效用值,对转发策略进行制定的路由协议。运用移动通信设备携带者的社会属性(即,社会上下文)来预测节点的下一次相遇性机会,可以制定更有效的路由策略,通过身份加密的用户隐私保护策略则重点保护用户的社会上下文不暴露给更多不受信任的节点,保护用户隐私[3]。例如,当源节点NS要想目的节点ND发送消息M时,NS首先将ND的档案合并生成消息头Header(M),再发给2跳内的邻居节点,邻居节点会通过对比自身的档案消息与Header(M)的属性消息,得到匹配度再发回给NS,NS最终会选择匹配度较高的节点作为随后的2跳路由选择,如此推进,直到到达ND。

基于身份加密的机会网络安全路由架构通过关键字可搜索的加密算法为节点的社会上下文设置了相匹配的陷门,虽然中继节点仍然可以计算上下文匹配度、制定相应的转发策略,但是不会暴露任何源节点NS属性信息。同时,节点的社会上下文信息会合成相应的公钥对信息进行加密[4]。

基于身份加密的机会网络安全路由架构一方面对方案的安全模型进行建设,另一方面也对基于身份密码体制下的强指定验证者签名、签密、多签密、多接收者匿名签密以及面向群组的加密和签密、安全密钥分发协议等密码学方案的安全性定义与具体实现进行了重点的研究,方案甚至可以满足代理签名与强指定验证者签名情况的安全特性,可以有效的防止签名滥用与签名内容的泄露。

3 机会网络安全路由架构具体内容

3.1 基于IBE的安全路由算法

为了避免信息加密阶段因为身份证书的获取与验证带来不必要的麻烦,可以运用身份密码学架构,提供在节点与私钥间无交互通信的情况下实现的安全服务,本方案需要运用到高效可搜索的加密算法,该算法是IBE的一种变形,通过该算法为节点的属性生成陷门,为节点隐私提供保护,并通过节点的社会上下文生成公私钥数据对,保障消息的机密性和安全性;通过设置相关功能函数,分别对系统参数的初始化、陷门、密钥、消息头的生成以及信息的解密等进行处理[5]。如,设网络中的节点NX有m个社会属性,但是在每一个社会属性下又要设计一些相关的函数对相关数据进行管理和推演,该类函数一般都是强密码的。如,可以设置消息分块函数,当需要传输的消息过大时,可以运行该函数将消息分成n比特的消息块,方便传输,使加解密过程更迅捷。

3.2 安全架构在机会网络中的具体实施

最开始,将网络中节点按照社会上下文中相关属性的不同被划分为诸多不同的社区定义为本架构在机会网络中实施时的安全假设。至此,某一个相同社会属性的接地同属于一个社区,而提供了这种安全假设后,属于同一社区内的用户就可以相互信任,且某一个节点为本社区内任意节点透露其共有的属性并不会被视为隐私的泄露。同时,任意节点的社会上下文具备唯一性,可以作为节点身份的代表。例如,在Comi社区中的节点都有相同的社会属性i,社区内节点见透露属性i时并不会被视为隐私泄露。

在上述安全假设基础上,架构中所有中继节点在制定转发策略时,可以轻而易举的发现自身档案与目的节点的档案之间共同的社会属性,快速计算其匹配度。如果社会属性不同,中继节点就无法获得任何信息,可以对社会上下文的隐私起到极好的保护作用[6]。

例如,在Propicman协议模型中,要在机会网络中部署实施了安全架构的S-Propicman协议,要先建立参数系统,初始化节点,节点NS将需要发送给节点ND的消息M以数据包的形式逐步发送,结果多个节点NX的转发后,消息数据包得到ND处,ND运行诸如DEC等消息加解密算法解密数据包,即可获取明文数据M。

3.3 身份加密安全架构在机会网络中的安全性

3.3.1 社会上下文的隐私性

高效可搜索的加密方案具备抵抗不可区分的自适应选择关键字符攻击的能力,可以保证节点只有在拥有对方节点的陷门时,才可以获取消息源头中的相关属性信息,而且相关环节专门负责生成并保存社会属性的私钥,其陷门的分发仅仅针对内部用户,这也就避免了单一节点被捕获可能造成的属性私钥泄露情况的发生。

3.3.2 信息的机密性

在架构中生成公钥并加密消息都是以目的节点的社会上下文属性为基础的,目的节点是唯一可以解密的节点;同时,也可以引入对称密钥来进行消息的加密,运用节点社会上下文生成的公私钥对对称密钥进行加解密,极大的提高了算法的性能也保证了消息的机密性[7]。

3.3.3 通信节点的匿名性

架构中源节点发送的数据包中包含了根据目的节点的社会上下文生成的可搜索消息头和消息秘闻,但并不包含任何源节点的消息,可见数据包在结果多跳的路由转发后,攻击节点就无法从截获的数据包中取得相关数据源节点的丁点身份信息,实现了发送者的匿名性。

4 结语

机会网络融移动的自组织网络、容迟网络、社会网络等诸多概念为一体,可以通过移动节点的相遇性机会对消息进行传输和共享。基于身份认证的机会网络安全路由架构其实就是针对目前机会网络中极为流行的基于社会中上下文的路由转发协议,来设计基于身份加密的信息安全架构,以此保证节点社会中上下文的隐私性与信息的保密性。此安全路由架构可以通过搜索方便的加密算法来为任意一个节点的社会属性设计相应的陷门,导致中继节点在可计算自身和目的节点之间社会上下文匹配度、可制定相应的转发路由策略的同时,却无法获取目的节点与属性相关的任何信息,同时,也可以使用节点的社会上下文产生公钥对信息进行加密,多次实验仿真数据表明,此安全路由架构可以确保信息的机密性,且本方案中的部署在网络报文投递率和报文的平均时延方面并未造成明显的影响,不失为一种实用、高效、稳定的机会网络安全路由架构。

参考文献

[1]沈二琳,李德其.基于MCPK的移动网络安全路由方案[J].广西计算机信息,2010,(26):74-77.

[2]王永芝,季磊,胡一度.使用对技术的基于身份密码学研究综述[J].安庆师范学院学报,2009.8,1l(3):56-59.

[3]陆乾容,杜少敏.机会网络研究进展及其安全路由架构[J].中国计算机研究,2008,(5):12-23.

[4]许娟,刘军燕.机会网络及其数据管理的概念、问题与进展[J].软件学报,2009,8,1l(3):56-59.

[5]钟桓昌,刘鼎铭.无线Ad hoc网络及其安全路由架构研究难点[J].中国计算机研究,2007,(5):46-57.

[6]刘光耀,冯凡卡,刘军.一种WSN的非一致性数据故障检测机制[J].软件学报,2010,(12):112-115.

基于路由器的网络安全 篇11

关键词：嵌入式技术；G.SHDSL；路由器

中图分类号：TN919.3 文献标识码：A

1 G.SHDSL硬件设备[3]的设计

本设备的结构主要包括微处理器、存储器、以太网接口模块、G.SHDSL成帧器及其模拟前端、RS232调试口、电源模块以及告警指示灯。

设备的核心部件是嵌入式处理器，它控制、辅助整个系统的运行。嵌入式处理器有很多，综合考虑性能、功耗、价格、供货保证、开发工具的配备以及过去的开发经验和软件的支持等因素，最终选择了MotoIora MPC859T处理器。由于CPM分担了嵌入式PowePC核的外围工作任务，因此极大地满足了控制层繁重的任务处理及传输层高带宽的要求，而且这种双处理器体系结构的功耗要低于传统体系结构的处理器。

4端口的10/100Base-T通过交换芯片与MPU的快速以太网控制器（Fast Ethernet Controller，FEC）连接，采用MII接口方式，接口符合IEEE802.3规范；不仅实现和有线局域网的桥接，还可以实现系统程序的以太网下载，将其烧写进Flash中。MPC859T拥有2个串行管理通道（Serial Management Channel，SMC），本设备使用其中一个连接本地PC的RS232串口，实现本地管理、控制和维护；另一个用于与G.SHDLS芯片的通信。MPC859T通过串行通信控制器连接G.SHDSL芯片的ATM接口。

在移植的Linux源代码中，根据目标进行半裁减定制，以适合目标系统，尽量少占用系统内存。操作系统定制后将其连接到目标的应用程序上，成为应用程序的一部分，并对低级系统的初始化文件进行修改，使之符合目标板的需要。对于MPC859T，所有软件都固化在板上Flash内，Flash的内容可通过烧写工具来更新升级。存储应用程序的Flash和用作程序运行、保存临时文件的2片SDRAM可通过MPC859T的系统集成单元（System Integration Unit，SIU）连接。本设备可选用一块90nS访问时间的AMD 29LV320MB芯片，提供4M×8位共8MB Flash ROM，具有足够的带宽和存储空间；另外它还具有不活动状态零功耗特性，符合本设备低功耗的设计原则。

2 软件设计方案

本系统从引导加载程序、Linux内核、文件系统、用户应用程序等四个层次设计系统的软件部分。

2.1 引导加载程序

Boodoader（引导加载程序）是CPU复位后和进入操作系统之前执行的一段代码，主要用于完成由硬件启动到操作系统启动的过渡，为操作系统提供基本的运行环境。本文用的是支持多种CPU体系结构、功能强大的PPCBoot。

2.2 Linux内核移植

由于嵌入式系统是针对特定应用的，而且资源有限，所以标准Linux无法应用到嵌入式系统中，因此必须根据本设备的实际情况对Linux进行裁剪、配置，从而产生一个适用的嵌入式Linux操作系统。Linux内核的移植包括获取源代码、修改设置、裁减配置和编译。

2.3 ATM驱动程序

数据是以ATM信元来传输的，所以要实现ATM的驱动。在ATM驱动中，与众不同的是：因为ATM是面向连接的，在此设备控制结构中，需要定义一个通道连接结构来管理虚电路的连接。此通道连接结构的主要元素有：通道标识、业务类型、发送连接表、接收连接表、发送缓冲描述符（BD）链表、接收BD链表等。业务类型定义了由通信的两个主机协商好的业务类型。发送、接收连接表是为匹配MPC8360的硬件要求定义的。

2.4 以太网的桥接和路由

网络地址转换（Network Address Translation，NAT），一个IETF标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT有三种类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）、网络地址端口转换NAPT（Port-Level NAT）。网络地址端口转换NAPT（Network Address Port Translation）是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

路由信息协议（RIP）是以跳数作为metric的距离向量协议。RIP广泛用于全球因特网的路由，是一种内部网关协议，即在自治系统内部执行路由功能。外部网关路由协议，如边缘网关协议，在不同的自治系统间进行路由。

2.5 应用层

为了便于设备的操作和管理，提供VT100配置、SNMP配置和Web Server配置等方式。

3 总结

本文利用嵌入式Linux技术，提出了一种实符合国际标准、支持多种业务类型、兼容性好的G.SHDSL路由器的设计方案，经过测试检验，达到了预期目标。

参考文献

[1] 魏庆福，郑文波.嵌入式系统的技术发展和我们的机遇[J].自动化博览，2002，4：5-8.

[2] 林晓勇，吕珺.基于G.SHDSL技术的用户线路倍增系统设计[J].信息技术， 2006，3：34-35.

[3] 詹特伦，等.基于CX28975芯片组带E1接口的G.SHDSL设备的设计与实现[J].电信科学，2005，21（3）：49-52.

作者简介：

基于路由器的网络安全 篇12

默认路由(Default route),是对IP数据包中的目的地址找不到存在的其他路由时,路由器所选择的路由。目的地不在路由器的路由表里的所有数据包都会使用默认路由。这条路由一般会连去另一个路由器,而这个路由器也同样处理数据包:如果知道应该怎么路由这个数据包,则数据包会被转发到已知的路由;否则,数据包会被转发到默认路由,从而到达另一个路由器。默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。如果没有默认路由,那么目的地址在路由表中没有匹配表项的包将被丢弃·默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能。默认路由器是相对于固定路由而言的。对路由器来讲,每一个需要路由的IP地址,他需要知道下一站的路径,这个路径就是下一站路由了。当路由器找不到准确的下一站路径的时候,也就是说路由器不能找到需要路由的IP地址的下一站在哪里,这时他会选择默认路由,把数据包转发过去,再让默认的下一站去处理数据转发。每个可以正常联网的路由器都必须有默认路由存在,否则路由器没有识别路由的IP地址,路由器将会丢弃,导致无法访问。

实际上,默认路由可以理解为好多静态路由的集合,这些静态路由都有一个相同的特点,那就是下一条是相同的,这个时候就可以用一条默认路由(0.0.0.0 0.0.0.0 x.x.x.x)来代替所有的静态路由了。在实际的园区网中要访问外网的网段会非常多,每个网段都要加一跳静态路由那不是很麻烦吗,这个时候用默认路由是个非常不错的选择。本研究正是基于默认路由的这个特点,结合仿真实验,研究如何灵活配置默认路由大大简化整体路由表信息的问题。

2 本研究拓扑图的设计和IP地址段的规划

本研究采用如下图1的拓扑图及IP地址段规划设计。在如下综合网络中,四个路由器接口连接情况以及分配的地址段分别为:12.1.1.0/24、23.1.1.0/24、24.1.1.0/24,另外路由器R03配置了四个Loopback口地址,分别为1.1.1.1/32、2.2.2.2/32、3.3.3.3/32,4.4.4.4/32。要想实现全网连通,根据路由的配置原理,对于所有非直连网段均需要配置路由,R01和R04需要配置到6个网段的路由,R02需要配置到4个网段的路由,R03需要配置到2个网段的路由。因此,如果用普通静态路由配置,将需要配置18条路由。而在当前网络中各个路由器需要配置的路由都具有相同的下一跳,R01去往目的网段的下一跳都在12.1.1.2,R04去往目的网段的下一跳都在24.1.1.1,R02去往目的网段的下一跳都在23.1.1.2,R03去往目的网段的下一跳都在23.1.1.1,因此可以在每台设备上配置一条默认路由来代替。

3 方案的实施和连通性测试

默认路由的配置方案如下:

利用show ip route命令查看各个设备上的路由表信息,此处以R04路由表为例,可见路由表中除了直连网段的路由外,就只有一条标记为S*的默认路由。

通过默认路由的配置,现在R01和R04上有2条路由,其中1条为直连路由,1条为默认路由,R02上有4条路由,其中3条为直连路由,1条为默认路由,R03上有5条路由,其中4条为直连路由,一条为默认路由,真正配置的路由为4条默认路由。

从R01上逐次ping各个路由器接口,结果如下:

可见,四条默认路由解决了本网络的整体连通性。相比不用默认路由去技术,采用默认路由技术后,路由的配置从原来的18条变成了4条,大大简化了路由的配置和路由表中路由信息的条目数。

4 结语