下载掌阅APP,畅读海量书库
立即打开
我们先来介绍网络中几个重要的网络设备:路由器、交换机和集线器。
路由器又称网关设备,是连接国际互联网(又称因特网,Internet)中各局域网、广域网的设备,它会根据信道的情况自动选择路径,从而以最佳路径,按前后顺序发送信号。
1.路由器的功能
路由器是互联网的枢纽,就好比“交通警察”,用于连接多个逻辑上分开的网络。逻辑网络代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成。作为不同网络之间互相连接的枢纽,路由器构成了基于TCP/IP协议的国际互联网的主体脉络,也就是说,路由器构成了国际互联网的骨架。因此,路由器具有判断网络地址和选择IP路径的功能,能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接各种子网。路由器只接收源站或其他路由器的信息,属于网络层的一种互连设备。
目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。
路由器处理速度是网络通信的主要瓶颈之一,它的可靠性会直接影响网络互联的质量。
2.路由器的工作过程
路由器有静态路由、动态路由、策略路由等工作方式。
静态路由是指在路由器中设置固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。
动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。
静态路由不能对网络的改变做出反应,一般用于拓扑结构固定的、比较简单的网络(简单不代表规模小)。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。动态路由能够根据链路和节点的变化适时地进行自动调整,能自动进行健康检测,选择最佳的可用路由。动态路由一般应用在比较复杂的网络环境。使用静态路由的好处是网络安全,保密性高,可靠性好。也有些大型项目,采用虚拟化等技术,将多台高端路由设备,虚化成一台逻辑设备,简化拓扑,然后使用静态路由。
策略路由,也称为基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单地根据目的IP地址或源IP地址来决定,而是综合考虑多种因素来决定。它转发分组数据报文到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的信息被转发到一个指定的接口。
策略路由是根据一定的策略进行报文转发的,因此策略路由是一种比静态路由更灵活的路由机制。在设备转发一个数据报文时,首先根据配置的规则对报文进行过滤,匹配成功则按照一定的转发策略进行报文转发。这种规则可以基于标准和扩展访问控制列表;而转发策略则是指控制报文按照指定的策略路由表进行转发,因此,策略路由是对传统IP路由机制的有效增强。策略路由有三种工作方式:目的地址路由、源地址路由、智能均衡路由。
3.路由器的应用方法
随着对业务连续性保障要求的提高,以及对带宽需求的增加,越来越多的企业用户、政府用户采用多个因特网服务提供商(Internet Service Provider,ISP)接入的方式进行流量负载分担,并增加链路的冗余安全性。
针对该问题,市场上有些产品提供了ISP路由功能,根据不同的ISP确定下一跳地址,使不同ISP流量走专有路由,从而提高网速。例如,系统内置电信地址库和移动地址库,可以通过ISP路由实现ISP访问路径的自由选择。
ISP路由的优先级和静态路由相同,低于策略路由。
常规情况下,路由的优先级是,策略路由>静态路由>动态路由。有可能不同厂商的设备上路由优先级是不同的,并且通过配置可以修改默认的路由优先级。
4.路由器的安全问题
现在Wi-Fi热点到处都有,我们的移动设备也离不开这些无线路由器,但如果这些公共场所的路由器安全设置不到位,那么就有可能被黑客入侵,到时候所有连接该路由器的设备数据都会被黑客获取,黑客也可以通过无线路由器发送病毒到客户端,盗取用户网银等敏感信息。如何保护路由器已经是一个越来越重要的话题。一个局域网内至少需要一名管理员,比如家庭的无线路由器,总要有个人知道如何配置,管理员就有责任做好路由器的安全设置工作。
无线路由器现在不仅仅是家庭互联网中心,还是智能家居设备的控制中心。遭到黑客的攻击后,除了用户的个人隐私和财产会被窃取,甚至生活还会被打扰。遭受攻击后,用户的智能设备和智能家居设备还可能沦为僵尸网络,被黑客所控制,对网络上的其他设备发起攻击。因此,无论是无线路由器还是有线路由器,其安全性都是非常重要的。
路由器的无线热点是一个重要的安全隐患,很多都是通过无线热点入侵到路由器中的,因此要着重关注对路由器的无线热点的安全管理。
5.路由器的安全措施
1)开启WPA2无线密码
很多无线路由器都没有设置密码,任何移动设备都可以连上路由器,这样一方面会因为客户端太多而影响网速,另外,让黑客进入局域网也会影响用户的信息安全。还有很多密码是用WEP加密的,这种模式安全性非常低,所以最好开启WPA2加密。
此外,要将密码修改成“大小写字母+数字+特殊符号”的形式,而且密码的位数要足够长,这样不易被破解,有条件的情况下,使用Unicode码或汉字密码更好。同时,有些路由器在出厂时设置了默认的SSID和Wi-Fi密码,贴在设备的铭牌处。同型号的设备,Wi-Fi密码一般都一样,所以建议用户修改成全新的SSID和Wi-Fi密码。
2)修改管理员账号和密码
保护无线路由器安全的第一件事,也是最简单的事,就是修改无线路由器后台的管理账户和密码。许多用户采用默认的账户和密码,导致黑客轻轻松松就接管了无线路由器的控制权。一旦被控制,路由器的DNS会被篡改,从而让我们访问的网页,都跳转到黑客的钓鱼网页,窃取用户的个人隐私和银行账户资料。因此在使用路由器之前,一定要首先修改管理后台的默认账户和密码,最好使用“大小写字母+数字+特殊符号”的形式,且密码在10位以上最佳,有条件的情况下,使用Unicode码或汉字密码。
3)修改路由器默认IP地址
大部分路由器的默认IP地址是192.168.1.1,黑客在接入局域网之后就冒充这个IP地址来和客户端机器通信,这就是ARP攻击的原理。为了安全起见,应首先修改路由器IP地址。
4)设置黑白名单
如果密码不幸被窃取或破解了,那么黑白名单还可以抵挡一下。黑白名单可以与MAC地址和IP地址捆绑,也可以把某些域名设置成黑白名单,如果设置了白名单,不在白名单上的用户就无法登录系统,一般来讲,黑客就没什么机会连接到路由器上。
5)禁止远程管理路由器
路由器有个远程管理功能,可以允许外网指定IP地址的主机来控制路由器,这个功能一般用户用不到,为安全起见,可以把它关闭。
6)及时更新固件并关闭远程管理功能
通常厂商会在第一时间修补自己的安全漏洞,所以建议大家及时更新(无线)路由器的固件。如果不相信路由器的自动升级,可到产品官网下载最新的官方离线的固件升级包,再进行本地升级工作。升级完成后,最好立即进入路由器的管理后台,把设置中的远程管理功能关闭。
7)不要把路由器放在公共区域
如果把路由器放在室外屋顶等位置,别人就能够直接接触到路由器,这样不管你设置了什么,他只要按下Reset键就能恢复出厂设置了,然后控制权就被他获取,所以物理安全非常重要,如果在这里出了问题,那么其他工作就都白做了。
8)对路由器的管理端口要严格管理
不要将管理端口接入网络系统的“运行网络”,否则一旦黑客入侵运行网络,就可以轻松访问、控制路由器。
6.虚拟路由器冗余协议
通常,同一网段内的所有主机都设置一条相同的以网关为下一跳的默认路由,网段内的主机发往其他网段的报文将通过这个默认路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信。当网关发生故障时,本网段内所有以网关为默认路由的主机将无法与外部网络通信。
默认路由为用户的配置操作提供了方便,但是对默认网关设备提出了很高的稳定性要求。增加出口网关是提高系统可靠性的常见方法,如何在多个出口之间进行选路就成为需要解决的问题。虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)将可以承担网关功能的路由器加入备份组中,形成一台虚拟路由器,由VRRP的选择机制决定哪台路由器承担转发任务,局域网内的主机只需要将虚拟路由器配置为默认网关即可。VRRP是一种容错协议,在提高可靠性的同时,简化了主机的配置。在具有多播或广播能力的局域网,如以太网中,借助VRRP能在某台设备出现故障时提供高可靠的默认链路,这样就有效避免了单一链路发生故障后网络中断的问题,而无须修改动态路由协议、路由发现协议等配置信息。
7.路由器的安全管理
为了做好路由器的安全防护,我们应采取以下的防范措施。
(1)有条件的情况下,要严格管理路由器的管理端口,要将路由器的管理端口与系统的运行网络分离。
(2)要尽量使用Console口管理路由器。
(3)可能的情况下要关闭“带内管理”(网内管理)功能。
(4)如果要使用“带内管理”功能,要采取MAC地址和IP地址绑定管理员计算机的有效措施,使只有指定的管理员计算机才能对该路由器进行管理。
日常要保护好、管理好管理员的计算机,如果不是必需的,那么平时可以将管理员计算机关机或脱网。
交换机(Switch)是一种用于电(光)信号转发的网络设备,可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机,即网络交换机,它是一个扩大网络连接能力的设备,能为子网络提供更多的连接端口,因此有时称为多端口网桥。
1.路由器与交换机的区别
路由器和交换机之间的主要区别就是交换机发生在OSI参考模型第二层,即数据链路层,而路由器发生在第三层,即网络层。这一区别决定了路由器和交换机在传输信息的过程中需使用不同的控制信息,所以说两者实现各自功能的方式是不同的。
2.核心交换机和普通交换机
通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层,接入层的目的是允许终端用户连接到网络,因此接入层交换机即普通交换机具有低成本和高端口密度特性;而将网络主干部分称为核心层,核心层的主要目的在于通过高速转发信息,提供优化、可靠的骨干传输通道,因此在核心层的交换机即核心交换机应拥有更高的可靠性和吞吐量。核心交换机是针对网络架构而言的,在网络系统中核心交换机是指有网管功能、吞吐量强大的交换机。
核心路由交换机是指路由功能进一步强化,使用级别也更高的带路由的交换机。
3.交换机的功能
1)透明网桥
透明网桥最初是由DEC公司提出的,后来被IEEE 802.1委员会采纳并标准化。使用网桥可以连接多个局域网(Local Area Network,LAN),对于符合IEEE标准的网桥,只要把连接插头插入网桥即可。透明网桥是一个即插即用设备,只要把网桥接入局域网,不需要改动硬件和软件,也不必设置地址开关和加载路径选择表或参数,网桥就能正常工作。对于用户来说,网桥是透明的,即网桥进入或离开整个网络,用户感觉不到。
2)设置VLAN
在一个物理局域网内,通过对端口的划分,就可以将局域网内的设备分割为几个各自独立的群组,群组内部的设备之间可以自由地通信,而当分属不同群组的设备之间要通信时,必须进行三层的路由转发。通过这种方式,一个物理局域网就如同被划分为几个相互隔离的局域网,这些不同的群组就称为虚拟局域网(Virtual Local Area Network,VLAN)。
对网络内的设备实行VLAN管理,如图3-1所示。为增强系统的安全性,对各分区采取VLAN管理,能有效阻止内网渗透。
3)端口设置为保护口
有些应用环境下,要求一台设备上的有些端口之间不能互相通信,在这种情况下,不管是单址帧,还是广播帧,以及多播帧,都不能在端口之间进行转发。这时可以通过将某些端口设置为保护口(Protected Port)来达到这个目的,当将某些端口设置为保护口之后,保护口之间互相无法通信,保护口与非保护口之间可以正常通信。一般端口默认为非保护口,保护口之间禁止二层通信(单播/广播/组播)。
图3-1 对网络内设备实行VLAN管理
4)端口镜像
端口镜像(Port Mirroring)就是把交换机一个或多个源端口的数据报文复制到一个或多个目的端口的方法。端口镜像又称端口映射,是网络通信协议的一种方式。
简单地说就是,要想分析交换机端口的数据信息,但不能影响原来数据的传送,就需要做端口镜像,也就是说原来的端口还是按照原来的方式工作,复制的端口的数据信息用来对数据信息流做监测或找出网络存在问题的原因。
通常端口镜像的目的是实现对网络的监听。
5)端口聚合
端口聚合是指组合多个链路成为一个逻辑的网络链路,从而提高带宽。使用快速以太网和千兆以太网技术,通过端口聚合提高设备之间通信通道的容量和可用性,如将两个或多个百兆或千兆以太网口捆绑在一起来提高带宽和连接的冗余性。端口聚合提供了负载均衡的方式来处理通信负荷,使得通信负荷均分在几个链路中,不会使单独一个链路超负载。通过端口聚合,用户可以在许多应用中得到实际的益处:更高的可靠性、更高的带宽,以及使用现有的设备来获取更高的带宽。
4.交换机的管理方式
通常可以通过以下方式来管理交换机。
(1)通过交换机的Console口管理交换机,属于带外管理,特点是无须占用交换机的网络接口,但线缆特殊,配置距离短,安全可靠。
(2)带内管理方式主要有Telnet、Web与SNMP等。
①Telnet方式是指通过计算机的网络接口,连接到网络中的某台主机,利用这台主机进行远程的管理与配置,特点是网管人员可以进行远程的配置。
②Web方式是指通过网页的形式进行交换机的管理与配置。
③SNMP方式是指利用网管软件基于SNMP协议统一对网络中的设备配置进行管理。
带内管理都是通过网络接口对计算机进行远程配置和管理的,它为网管人员带来方便的同时,也为网络系统带来了安全隐患——为黑客攻击埋下了暗道。
(3)交换机通常提供用户EXEC模式和特权EXEC模式两种基本的命令执行级别,还提供全局配置、接口配置、Line配置、VLAN配置、DHCP地址池配置、路由配置、访问列表配置等多种级别的配置模式。
5.交换机的安全管理
交换机的安全管理,可以参考路由器的安全管理措施。
集线器(Hub)是一个多端口的转发器,是数据通信系统中的基础设备。在以Hub为网络系统的中心设备时,即使网络中某线路产生了故障,也不影响其他线路的工作,所以Hub在局域网中得到了广泛的应用。大多数时候它用在星形与树形网络拓扑结构中,以RJ45接口与各主机相连(也有以BNC接口相连的),Hub的分类方法有很多。Hub按照对输入信号的处理方式,可以分为无源Hub、有源Hub、智能Hub。
连接在Hub上的各主机,在内网中具有不同的IP地址;在外网中具有同一个IP地址,不同的端口号。
Hub是TCP/IP协议的第一层设备,是基于高低电平的物理转发的设备。交换机是TCP/IP协议的第二层设备,是基于目的MAC地址进行数据转发的设备。路由器是TCP/IP协议的第三层设备,是基于IP地址的路由转发的设备。
Hub是一种简单的交换设备,安全防护性能较弱。
Hub的拓展方法是堆叠和级联。