路由器的應(yīng)用很廣泛，同時也出現(xiàn)了很多問題，這里主要講解了路由器維護方面的知識，在這里拿出來和大家分享一下，希望對大家有用。校園與Internet相連，可以使老師和學(xué)生得到大量的信息資源，開闊眼界和知識面。

所以組建校園網(wǎng)成了促進學(xué)校教育現(xiàn)代化的必經(jīng)之路。作為校園網(wǎng)內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接樞紐的路由器，在其中發(fā)揮著舉足輕重的作用，因此對于路由器的管理和維護是每個校園網(wǎng)管理員必不可少的主修課?？紤]到中小學(xué)校園的通用性，我們主要介紹校園網(wǎng)中常見的路由器Cisco 2612的維護內(nèi)容，當(dāng)然本文內(nèi)容也可以適用于更高性能的Cisco 7600等路由器。Cisco 2612的模塊化體系結(jié)構(gòu)能夠提供適應(yīng)網(wǎng)絡(luò)技術(shù)變化所需的通用性，它配置了強大的RISC處理器，能夠支持當(dāng)今不斷發(fā)展的網(wǎng)絡(luò)中所需的高級服務(wù)質(zhì)量(QoS)、安全和網(wǎng)絡(luò)集成特性。通過將多個獨立設(shè)備的功能集成到一個單元之中，Cisco 2612還降低了管理遠程網(wǎng)絡(luò)的復(fù)雜性，為Internet、校園內(nèi)部網(wǎng)訪問、多服務(wù)語音／數(shù)據(jù)集成、模擬和數(shù)字撥號訪問服務(wù)、VPN訪問、ATM訪問集中、VLAN以及路由帶寬管理等應(yīng)用提供經(jīng)濟有效的解決方案。

連接前的準(zhǔn)備

很多中小學(xué)的校園網(wǎng)采用了ADSL或者HDSL的連接方式，首先看Modem的狀態(tài)，如果Modem的DCD不亮，則表示線路連接故障。請先檢查接入線路連接，再檢查路由器的電纜連接，將控制終端連接到路由器上，按回車數(shù)下，出現(xiàn)路由器名稱。用終端或運行仿真軟件的PC節(jié)接入CONSOLE口。終端或PC配置信息為：9600 baud 8 data bits no parity 2 stop bits （9600，8/N/2），意思是：波特率9600，數(shù)據(jù)位8，停止位1，奇偶校驗無。管理員也可以在遠端通過Telnet address進行遠程設(shè)置。但如果是對路由器進行第一次配置時，必須采用前一種配置方式。

路由器安全維護

利用路由器的漏洞發(fā)起攻擊的事件經(jīng)常發(fā)生。路由器攻擊會浪費CPU周期，誤導(dǎo)信息流量，使網(wǎng)絡(luò)異常甚至陷于癱瘓。因此需要采取相應(yīng)的安全措施來保護路由器的安全。

避免口令泄露危機

據(jù)卡內(nèi)基梅隆大學(xué)的CERT/CC（計算機應(yīng)急反應(yīng)小組/控制中心）稱，80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。

關(guān)閉IP直接廣播

Smurf攻擊是一種拒絕服務(wù)攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網(wǎng)絡(luò)廣播地址發(fā)送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應(yīng)。這種情況會降低網(wǎng)絡(luò)性能。使用no ip source-route關(guān)閉IP直接廣播地址。

禁用不必要的服務(wù)

強調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)，例如SNMP和DHCP這些用戶很少用到的服務(wù)，都可以禁用，只有絕對必要的時候才使用。另外，可能時關(guān)閉路由器的HTTP設(shè)置，因為HTTP使用的身份識別協(xié)議相當(dāng)于向整個網(wǎng)絡(luò)發(fā)送一個未加密的口令。然而，HTTP協(xié)議中沒有一個用于驗證口令或者一次性口令的有效規(guī)定。

限制邏輯訪問

限制邏輯訪問主要借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統(tǒng)邏輯訪問。SSH是優(yōu)先的邏輯訪問方法，但如果無法避免Telnet，不妨使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

封鎖ICMP ping請求

控制消息協(xié)議（ICMP）有助于排除故障，識別正在使用的主機，這樣為攻擊者提供了用來瀏覽網(wǎng)絡(luò)設(shè)備、確定本地時間戳和網(wǎng)絡(luò)掩碼以及對OS修正版本作出推測的信息。因此通過取消遠程用戶接收ping請求的應(yīng)答能力，就能更容易的避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標(biāo)的“腳本小子”（script kiddies）。

關(guān)閉IP源路由

IP協(xié)議允許一臺主機指定數(shù)據(jù)包通過你的網(wǎng)絡(luò)路由，而不是允許網(wǎng)絡(luò)組件確定最佳的路徑。這個功能的合法應(yīng)用是診斷連接故障。但是，這種用途很少得到應(yīng)用，事實上，它最常見的用途是為了偵察目的對網(wǎng)絡(luò)進行鏡像，或者用于攻擊者在專用網(wǎng)絡(luò)中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應(yīng)該關(guān)閉這個功能。

監(jiān)控配置更改

用戶在對路由器配置進行改動之后，需要對其進行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP。如果不通過SNMP管理對設(shè)備進行遠程配置，用戶最好將SNMP設(shè)備配置成只讀。拒絕對這些設(shè)備進行寫訪問，用戶就能防止黑客改動或關(guān)閉接口。 此外，用戶還需將系統(tǒng)日志消息從路由器發(fā)送至指定服務(wù)器。進一步確保安全管理，用戶可以使用SSH等加密機制，利用SSH與路由器建立加密的遠程會話。為了加強保護，用戶還應(yīng)該限制SSH會話協(xié)商，只允許會話用于用戶經(jīng)常使用的幾個可信系統(tǒng)進行通信。

地址過濾

在校園網(wǎng)邊界路由器上建立政策以便根據(jù)IP地址過濾進出網(wǎng)絡(luò)的違反安全規(guī)定的行為。除了特殊的案例之外，所有試圖從網(wǎng)絡(luò)內(nèi)部訪問互聯(lián)網(wǎng)的IP地址都應(yīng)該有一個分配的局域網(wǎng)地址。例如，192.168.0.1通過這個路由器訪問互聯(lián)網(wǎng)也許是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。相反，來自互聯(lián)網(wǎng)外部的通信的源地址應(yīng)該不是內(nèi)部網(wǎng)絡(luò)的一部分。因此，應(yīng)該封鎖入網(wǎng)的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后，擁有源地址的、保留的和無法路由目標(biāo)地址的所有通信都應(yīng)該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類地址段。在組建校園網(wǎng)的時候，只有選擇合適的路由器，經(jīng)過正確配置和采用對應(yīng)的維護策略后，才能使校園網(wǎng)網(wǎng)絡(luò)流暢，安全可靠，充分發(fā)揮校園網(wǎng)在學(xué)校管理、獲取信息資源等方面的作用。

路由器工作原理

路由器是用來連接不同網(wǎng)段或網(wǎng)絡(luò)的，其方法是通過識別不同網(wǎng)絡(luò)的網(wǎng)絡(luò)ID號進行。路由器要識別另一個網(wǎng)絡(luò)，首先要識別對方的網(wǎng)絡(luò)ID，看是不是與目的節(jié)點地址中的網(wǎng)絡(luò)ID號相一致。如果是就向這個網(wǎng)絡(luò)的路由器發(fā)送，接收網(wǎng)絡(luò)的路由器在接收到源網(wǎng)絡(luò)發(fā)來的報文后，根據(jù)報文中所包括的目的節(jié)點IP地址中的主機ID號來識別是發(fā)給哪一個節(jié)點的，然后再直接發(fā)送。