您现在的位置是:首页 > IT基础架构 > 网络与安全 >

路由器如何应用在企业局域网中

2012-01-30 23:51:00作者: 来源:

摘要随着信息技术的发展,世界经济正在走向信息化、全球化和市场化的同时,企业信息化也在不段更新发展,各个企业为了在竞争中取得成功,正在不断地利用现代网络技术和先进的网络设备,构建企业管理办公系统和电子商务网站,实现企业高效率的运作,实践现代经营理念和经营策略。...

  随着信息技术的发展,世界经济正在走向信息化、全球化和市场化的同时,企业信息化也在不段更新发展,各个企业为了在竞争中取得成功,正在不断地利用现代网络技术和先进的网络设备,构建企业管理办公系统和电子商务网站,实现企业高效率的运作,实践现代经营理念和经营策略。在这样的大背景之下,建设企业的局域网便成为了现代企业的一项迫切的任务。

  在企业局域网中,路由器是最常见的也是非常重要的设备。本文重点介绍路由器在局域网中的应用。

  一、路由器用于分隔子网

  在企业局域网内部,路由器的主要作用之一是分隔子网,同时隔离子网之间的广播。早期的企业局域网中,所有主机处于同一逻辑网络中。随着企业网络规模的不断扩大,局域网演变成以高速主干和路由器联接的多个子网所组成的园区网,也就是说这样的局域网已经是立体层次结构了。这若干个子网在逻辑上独立,而路由器就是惟一能够分隔它们的设备。

  路由器负责子网间的报文转发,根据路由协议算法产生多条路由,而且能为不同的网络应用选择各自不同的最佳路由。

  路由器还负责子网间的广播隔离。路由器每一端口联接一个子网,不同的端口属于不同的广播域,某一个端口的广播报文不能经过路由器广播出去扩散到整个企业局域网。这样既做到了信息保密,也能隔离某些病毒发起的广播攻击。

  在实际应用中,我们可以将路由器的不同端口用于联接不同的企业部门(即同一部门的设备全部连接在路由器的同一端口下)。

  二、路由器用于VLAN间的通信

  为了更好地管理局域网,可以在局域网中划分VLAN。VLAN(Virtual Local Area Network)的中文名为”虚拟局域网”,是将局域网设备从逻辑上划分(不是从物理上划分)成一个个网段,从而实现虚拟工作组的新兴数据交换技术。如果没有路由的话,不同VLAN之间是不能相互通信的,这样增加了企业局域网的安全性。如果需要在不同VLAN间通信,可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。

  三.路由器作为局域网出口

  路由器可以作为企业局域网联入广域网的接口。目前的企业可以选择多广域网(WAN)端口路由器,这样的路由器允许局域网共享多条外线。它的好处有:

  1.增加局域网出口带宽。用户可以多申请几条宽带线路,负载在这些端口之间均衡,就相当于出口带宽扩展了几倍。由于每条宽带线路的费用不高,对于较大的局域网也是很经济的。

  2.线路备份。可以在不同的WAN口上选择不同的ISP(InternetService Provider)。如果某个ISP,某条线路出现故障时,可以把数据流量重新分配到没有故障的端口上,整个网络还能正常运行。

  3.享受更多的内容服务。不同的ISP提供不同的服务,例如游戏,视频点播等。多个WAN口联接多个ISP,就可以享受这些服务。

  多WAN口对路由器的硬件要求比较高,软件就更是复杂。但是对于现在那些信息化程度较高的企业局域网及电子商务网站来说,网络业务必须是非常可靠,须臾都不能离开的。所以多WAN口路由器是有它的优势的。

  四、路由器的安全防御功能

  局域网出口路由器一般处在防火墙的外部,负责联入广域网。此时路由器自身的安全防御就显得非常重要,否则就可能被攻击者利用进而威胁到局域网。所以一定要对路由器进行合理的配置,使路由器成为局域网抵御外部攻击的第一条防线。

  1.防止外部IP地址欺骗。外部网络的非法用户可以将自己的IP地址改成内部网络的合法IP地址或回环地址,从而获得对扃域网的非法访问权限。所以要禁止源地址为私有地址,回环地址,多目的地址,以及没有列出源地址的所有数据流。

  2.防止外部非法探测。非法访问者在对内部网络发起攻击之前,常常使用ping命令或其他命令探测网络,所以要禁止从外部使用这些命令。一般情况下是阻止答复的输出,而不阻止探测的进入。

  3.保护路由器不受攻击。路由器可以通过Telnet或SNMP进行访问,应该确保Internet上没有人能用这些协议攻击路由器,所以需要在路由器的内部端口和外部端口上禁止这些访问。

  4.阻止对关键端口的非法访问。关键端口是指内部系统所使用的端口或者是防火墙本身暴露的端口。必须对关键端口的访问加以限制,否则这些设备就很容易受到外部攻击。

  5.防止外部ICMP重定向欺骗。攻击者可以利用ICMP重定向来对路由器进行重定向,将本应送到内部正确目标的数据重定向到它们所指定的设备,从而获得有用信息。防范的命令是:no.ipredirects。

  6.防止外部源路由欺骗。源路由选择是指使用数据链路层信息来为数据报进行路由选择,该技术可以使入侵者为内部网的数据报指定一个非法的路由,这样原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路由的命令是:noip source-route。

  7.防止盗用内部IP地址。攻击者可以盗用内部IP地址进行非法访问。而我们可以在局域网内将MAC地址与IP地址进行绑定来解决这个问题。具体命令是:arp固定IP地址MAC地址arpa。

  路由器还有很多其他的安全防范的命令和措施,这里就不再赘述。路由器在使用了上述安全措施之后,可以有效的提高整个局域网的安全性。但需要指出的是,这些措施的使用既占用了路由器的资源,也耽误了时间,从而牺牲了局域网的效率,会造成局域网对外部网络访问速度下降。

  五.路由器的网络管理功能

  路由器的网络管理功能比较多,这里重点讲述3个功能。

  1.利用MAC地址管理局域网用户。每个局域网用户网卡的MAC地址是固定不变的,所以通过用户的MAC地址对他们进行访问控制,设置权限。这个功能可以通过路由器自带的”MAC地址控制”功能灵活实现。比如可以将网卡的MAC地址与IP地址绑定,这样就保证在其他软件或硬件的安全设置项中进行的设置不会由于用户随意更改IP而失去控制作用。再比如可以通过MAC地址设置控制用户上网的权限或控制用户对共享设备的使用权限,这样可以减少共享设备的负担,减少企业上网的费用。

  2.利用封包过滤功能管理局域网用户。网络管理者可以对局域网流入和流出的数据包进行过滤以实现某些网管策略。管理者可以指定每一条管理规则的有效时间,比如所有主机在上班时间只能收发邮件但不能浏览网页等。再比如禁止所有主机使用QQ,禁止所有主机访问特定IP地址的网站,禁止部分IP地址的主机上网,禁止部分IP地址的主机的某些服务等等。这些功能都非常实用和有效,可以在路由器的设置界面中进行选择和设置。

  3.网络地址转换(NAT)功能。由于1P地址短缺的情况日益严重,一个企业申请的合法的Internet的lP地址很少,而内部网络用户很多。可以通过路由器的NAT功能实现多个用户同时公用若干个合法IP与外部Internet进行通信。另一方面企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部tnternet隔离开,外部用户根本不知道通过NAT设置的内部IP地址。

  除了以上介绍的功能之外,路由器还有配置管理,性能管理,容错管理和流量控制等功能。

  路由器在局域网中起着非常重要的作用,可是却有速度和价格上的劣势。但是综合考虑网络管理,网络安全,线路情况,网络建设投资、网络管理投资等多种因素,由路由器组成企业局域网还是具有较大优势的一种组网方式。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们