路由器基本原理和安全设置网络知识

“假人”通过精心收集，向本站投稿了5篇路由器基本原理和安全设置网络知识，下面是小编整理后的路由器基本原理和安全设置网络知识，欢迎阅读分享，希望对大家有所帮助。

路由器基本原理和安全设置网络知识

篇1：路由器基本原理和安全设置网络知识

路由器工作原理路由器是工作在IP协议网络层实现子网之间转发数据的设备，路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转

路由器工作原理

路由器是工作在IP协议网络层实现子网之间转发数据的设备。路由器内部可以划分为控制平面和数据通道。在控制平面上，路由协议可以有不同的类型。路由器通过路由协议交换网络的拓扑结构信息，依照拓扑结构动态生成路由表。在数据通道上，转发引擎从输入线路接收IP包后，分析与修改包头，使用转发表查找输出端口，把数据交换到输出线路上。转发表是根据路由表生成的，其表项和路由表项有直接对应关系，但转发表的格式和路由表的格式不同，它更适合实现快速查找。转发的主要流程包括线路输入、包头分析、数据存储、包头修改和线路输出。

路由协议根据网络拓扑结构动态生成路由表。IP协议把整个网络划分为管理区域，这些管理区域称为自治域，自治域区号实行全网统一管理。这样，路由协议就有域内协议和域间协议之分。域内路由协议，如OSPF、IS-IS，在路由器间交换管理域内代表网络拓扑结构的链路状态，根据链路状态推导出路由表。域间路由协议相邻节点交换数据，不能使用多播方式，只能采用指定的点到点连接。

安全设置“ width=”204“ height=”156“ />

思科1700系列路由器

路由器结构体系

路由器的控制平面，运行在通用CPU系统中，多年来一直没有多少变化。在高可用性设计中，可以采用双主控进行主从式备份，来保证控制平面的可靠性。路由器的数据通道，为适应不同的线路速度，不同的系统容量，采用了不同的实现技术。路由器的结构体系正是根据数据通道转发引擎的实现机理来区分。简单而言，可以分为软件转发路由器和硬件转发路由器。软件转发路由器使用CPU软件技术实现数据转发，根据使用CPU的数目，进一步区分为单CPU的集中式和多CPU的分布式。硬件转发路由器使用网络处理器硬件技术实现数据转发，根据使用网络处理器的数目及网络处理器在设备中的位置，进一步细分为单网络处理器的集中式、多网络处理器的负荷分担并行式和中心交换分布式。

路由器安全设置

对于来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情。路由器攻击会浪费CPU周期，误导信息流量，使网络陷于瘫痪。好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。漏洞常常是在供应商发行补丁之前被披露，这就使得抢在供应商发行补丁之前利用受影响的系统，这需要引起用户的关注。

避免身份危机

常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能，这样即使能够浏览系统的配置文件，他仍然需要破译密文口令。实施合理的验证控制以便路由器安全地传输证书。在大多数路由器上，用户可以配置一些协议，如远程验证拨入用户服务，这样就能使用这些协议结合验证服务器提供经过加密、验证的路由器访问。验证控制可以将用户的验证请求转发给通常在后端网络上的验证服务器。验证服务器还可以要求用户使用双因素验证，以此加强验证系统。双因素的前者是软件或硬件的令牌生成部分，后者则是用户身份和令牌通行码。其他验证解决方案涉及在安全外壳（SSH）或IPSec内传送安全证书，

禁用不必要服务

拥有众多路由服务是件好事，但近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，禁用路由器上的CDP可能会影响路由器的性能。另一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时间协议（NTP）的服务，对照有效准确的时间源以确保网络上的设备时针同步。不过，确保网络设备时钟同步的最佳方式不是通过路由器，而是在防火墙保护的非军事区（DMZ）的网络区段放一台NTP服务器，将该服务器配置成仅允许向外面的可信公共时间源提出时间请求。在路由器上，用户很少需要运行其他服务，如SNMP和DHCP。只有绝对必要的时候才使用这些服务。

限制逻辑访问

限制逻辑访问主要是借助于合理处置访问控制列表。限制远程终端会话有助于防止获得系统逻辑访问。SSH是优先的逻辑访问方法，但如果无法避免Telnet，不妨使用终端访问控制，以限制只能访问可信主机。因此，用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。

控制消息协议（ICMP）有助于排除故障，但也为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。为了防止搜集上述信息，只允许以下类型的ICMP流量进入用户网络：ICMP网无法到达的、主机无法到达的、端口无法到达的、包太大的、源抑制的以及超出生存时间（TTL）的。此外，逻辑访问控制还应禁止ICMP流量以外的所有流量。

路由器基本原理和安全设置网络知识使用入站访问控制将特定服务引导至对应的服务器。例如，只允许SMTP流量进入邮件服务器；DNS流量进入DSN服务器；通过安全套接协议层（SSL）的HTTP（HTTP/S）流量进入Web服务器。为了避免路由器成为DoS攻击目标，用户应该拒绝以下流量进入：没有IP地址的包、采用本地主机地址、广播地址、多播地址以及任何假冒的内部地址的包。虽然用户无法杜绝DoS攻击，但用户可以限制DoS的危害。用户可以采取增加SYN ACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN攻击。

用户还可以利用出站访问控制限制来自网络内部的流量。这种控制可以防止内部主机发送ICMP流量，只允许有效的源地址包离开网络。这有助于防止IP地址欺骗，减小利用用户系统攻击另一站点的可能性。

监控配置更改

用户在对路由器配置进行改动之后，需要对其进行监控。如果用户使用SNMP，那么一定要选择功能强大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置，用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问，用户就能防止改动或关闭接口。此外，用户还需将系统日志消息从路由器发送至指定服务器。

为进一步确保安全管理，用户可以使用SSH等加密机制，利用SSH与路由器建立加密的远程会话。为了加强保护，用户还应该限制SSH会话协商，只允许会话用于同用户经常使用的几个可信系统进行通信。

配置管理的一个重要部分就是确保网络使用合理的路由协议。避免使用路由信息协议（RIP），RIP很容易被欺骗而接受不合法的路由更新。用户可以配置边界网关协议（BGP）和开放最短路径优先协议（OSPF）等协议，以便在接受路由更新之前，通过发送口令的MD5散列，使用口令验证对方。以上措施有助于确保系统接受的任何路由更新都是正确的。

实施配置管理

用户应该实施控制存放、检索及更新路由器配置的配置管理策略，并将配置备份文档妥善保存在安全服务器上，以防新配置遇到问题时用户需要更换、重装或回复到原先的配置。

用户可以通过两种方法将配置文档存放在支持命令行接口（CLI）的路由器平台上。一种方法是运行脚本，脚本能够在配置服务器到路由器之间建立SSH会话、登录系统、关闭控制器日志功能、显示配置、保存配置到本地文件以及退出系统；另外一种方法是在配置服务器到路由器之间建立IPSec隧道，通过该安全隧道内的TFTP将配置文件拷贝到服务器。用户还应该明确哪些人员可以更改路由器配置、何时进行更改以及如何进行更改。在进行任何更改之前，制订详细的逆序操作规程。

原文转自：www.ltesting.net

篇2：有线网络路由器设置

您需要设置的是您的笔记本,如下:

1.打开您的IE游览器--点击工具--连接--点”从不使用拨号连接“,

2,点局域网(LAN)设置--点”自动检测设置(A),然后点击应用,确认就可以了. 问题补充:

如果您的路由器设置限制了使用地址的话,就:

1,点击左面--我的电脑--在地址栏输入192,168,1.1进入,

2,用户名和密码一般都是admin,

3,打开后--点击左边第二项LAN设置--DHCP起止IP地址,将原来设定的范围扩大:假如之前是192.168.1.100-192.168.1.102,可以将后面的这个1.102任意扩放到1.103到1.199之间的任何一个数.

4.其它路由器设置不用更改了,这样就完全可以解决.

篇3：有线网络路由器设置

①.先把宽带猫与路由器的WAN端口用网线连接LAN与电脑网卡用网线连接电源线等连接好然后检查路由器指示灯是否亮,如果重新启动电脑

②确定连接好,然后设置PC的TCP/IP选项:【开始】-【设置】-【网络连接】-【本地连接】-右击【属性】-鼠标双击【Internet协议(TCP/IP)】然后在【使用下面的IP地址】前打点,〖IP地址:192.168.0.2〗或〖IP地址:192.168.1.2〗(因为宽带路由器的出厂IP地址各有不同,有的为192.168.0.1,有的为192.168.1.1,具体你参考一下说明书)〖子网掩码:255.255.255.0〗,〖默认网关:192.168.0.1〗或〖默认网关:192.168.1.1〗(因为PC,IP设置要和宽带路由器在同一个网段当中,所以参考一下路由器说明书IP地址).然后在

【使用下面的DNS服务器地址】前打点,首选DNS服务器(p),备选DNS服务器(a),(因为地区不同所以设置DNS可以根据自己地区设置,如果不知道的话,点开始-运行-输入cmd-命令ipconfig/all),来具体进行设置.-【确定】

③.登陆路由器进设置双击桌面【IE浏览器】-在地址栏内输入192.168.0.1或

192.168.1.1路由器的IP地址(参考一下路由器说明书IP地址).然后按“回车”键,这时会看到路由器的设置界面,1.输入用户名和密码,具体参考路由器说明书中的用户名和密码.下一步2.路由器的欢迎界面,.单击“安装向导”下一步3..Internet接入根据自己使用的宽带线路进行具体的`选择,如ADSL,选择ADSL,下一步4.登陆方式,如ADSL拨号,选择PPPoE,下一

步,5.用户信息的填写,输入通信运营商提供你的ADSL用户名和密码,下一步6.选着自动分配的IP地址,确定.

④.设置PC共享上网打开另台机子,点【开始】-【设置】-【网络连接】-【本地连接】-右击【属性】-鼠标双击【Internet协议(TCP/IP)】,然后在【使用下面的IP地址】打点,〖IP地址:192.168.0.3〗或〖IP地址:192.168.1.3〗(因为宽带路由器的出厂IP地址有的不同有的为192.168.0.1,有的为192.168.1.1,具体你参考一下说明书)〖子网掩

码:255.255.255.0〗〖默认网关:192.168.0.1〗或〖默认网关:192.168.1.有线网络路由器设置1〗DNS服务器设置,同上②.-【确定】

路由器设置过程有些复杂但是比较实用,选择适合您笔记本连网的路由器设置方法吧.

篇4：CISCO路由器设置的连接网络知识

配置CISCO（思科）路由器有两种方法，一是通过CISCO路由器的配置端口,利用微机或终端来配置，二是利用网络通过Telnet命令来配置，不过采用第二种方法，要求用户已经正确配置了路由器各接口的IP地址，第一种方法更具有通用性，通过这种方法对其配置过程进行

配置CISCO（思科）路由器有两种方法，一是通过CISCO路由器的配置端口,利用微机或终端来配置，二是利用网络通过Telnet命令来配置，不过采用第二种方法，要求用户已经正确配置了路由器各接口的IP地址。第一种方法更具有通用性，通过这种方法对其配置过程进行讲解：

第一步：如图1所示，建立本地配置环境，只需将微机（或终端）的串口通过标准RS232电缆与路由器的配置口连接；如果建立远程配置环境，如图2所示，需要在微机串口和路由器配置口上分别挂接Modem。然后通过电话拨号实现连接。

第二步：准备一台安装了Windows95/98操作系统的个人电脑；

第三步：用随机提供的配置口电缆把PC的串口1和CISCO的Console口相连，然后打开PC和CISCO的电源，

第四步：用PC建一个超级终端。开始→程序→附件→通信→超级终端。用鼠标双击Hypertrm.exe文件，然后输入要建的超级终端名称并选择一个图标，选择“直接连接到串口1”选项，设置通信端口（设置终端通信参数：通信速率9600bps、8位数据位、1位停止位，无奇偶校验，无流控；（在Windows 3x上使用终端仿真时：终端类型为VT100，二进制传输协议为Xmodem/CRC，如图3）。

鼠标点击确定后，PC终端即正确连到了CISCO路由器上。连接实例如下：

启动超级终端，设定名称为CISCO,再选择一个图标（如图4）->然后选择合适的连接端口，本地配置选择串口，远程配置选择Modem。（如图5）->选择波特率为9600bps（如图6）->最后把设置的保存在CISCO文件里，下一次直接从超级终端CISCO中启动。

第六步：如果路由器第一次上电，自动执行Setup命令，以交互方式提示用户配置路由器最初启动所必需的参数；否则会显示路由器自检信息，自检结束后提示用户键入回车，直到出现命令行提示符（如图7）。

点击查看大图第七步：键入命令，配置路由器或查看路由器运行状态，需要帮助可以随时键入“?”。

原文转自：www.ltesting.net