當(dāng)一臺(tái)主機(jī)應(yīng)用需要向位于不同網(wǎng)絡(luò)的目的地發(fā)送數(shù)據(jù)包時(shí),路由器從一個(gè)接口接受數(shù)據(jù)信息。網(wǎng)絡(luò)層會(huì)檢查這個(gè)數(shù)據(jù)包來決定預(yù)計(jì)發(fā)送的網(wǎng)絡(luò),然后,路由器會(huì)檢查自己的路由表,并利用路由表的信息來判斷預(yù)計(jì)要發(fā)送的端口。路由器再次把數(shù)據(jù)報(bào)按一定的規(guī)則進(jìn)行封裝,然后把數(shù)據(jù)包在某個(gè)端口轉(zhuǎn)發(fā)出去。
路由器再轉(zhuǎn)發(fā)任何一個(gè)數(shù)據(jù)包的時(shí)候,都會(huì)發(fā)生這個(gè)路由判斷的過程。路由判斷使得路由器能夠選擇最合適的接口來轉(zhuǎn)發(fā)數(shù)據(jù)包。也就是說,路由器主要是靠路由表來工作的,若沒有路由表或者路由表中的信息錯(cuò)誤的話,則路由器將如同一堆廢鐵,沒有任何價(jià)值。
路由表生成機(jī)制的分類
根據(jù)路由表生成機(jī)制的不同,可以分為靜態(tài)路由與動(dòng)態(tài)路由。
動(dòng)態(tài)路由是指路由器會(huì)根據(jù)一定的方法,自動(dòng)更新路由表。因?yàn)樵诰W(wǎng)絡(luò)中,當(dāng)添加某個(gè)路由器或者某條鏈路發(fā)生故障時(shí),在網(wǎng)絡(luò)上都會(huì)產(chǎn)生一些信息來告知對方。路由器就是根據(jù)這些信息來更新自己的路由表,并按照一些預(yù)定的規(guī)則,來調(diào)整相關(guān)的路由信息。可見,采用動(dòng)態(tài)路由的話,可以方便我們的管理。但是,其也會(huì)帶來一些問題。如動(dòng)態(tài)路由會(huì)把網(wǎng)絡(luò)中所有可見的路由都在查尋出來,也就是說,采用路由器的動(dòng)態(tài)路由的話,只要數(shù)據(jù)鏈路不出現(xiàn)問題,一般來說,各個(gè)網(wǎng)絡(luò)都是可達(dá)的,這就不利于網(wǎng)絡(luò)管理員控制網(wǎng)絡(luò)訪問。
靜態(tài)路由是由網(wǎng)絡(luò)管理員手工更新路由表。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化或者路由器增加與減少等等,都需要網(wǎng)絡(luò)管理員手工的去更新路由器的路由表,否則的話,網(wǎng)絡(luò)通訊就會(huì)產(chǎn)生影響。不過,靜態(tài)路由跟動(dòng)態(tài)路由比較起來,最大的缺點(diǎn)就是需要網(wǎng)絡(luò)管理員手工的更新路由表,無論企業(yè)的網(wǎng)絡(luò)發(fā)生任何的改變。這對于網(wǎng)絡(luò)管理員來說,是工作量非常大的一件工作。
不過,靜態(tài)路由也有其好處,如:一方面不需要啟用動(dòng)態(tài)路由選擇協(xié)議服務(wù),因此可以減少路由器的運(yùn)行資源開銷。而且,在網(wǎng)絡(luò)中,也不需要進(jìn)行信息的發(fā)送與傳遞,可以減少由此帶來的帶寬的占用。要實(shí)現(xiàn)動(dòng)態(tài)路由的話,必須要有一些協(xié)議的支持,如RIP等等。這些協(xié)議規(guī)定了路由器中路由表的生成規(guī)則。而運(yùn)行這些協(xié)議的話,畢竟會(huì)占用路由器的資源,同時(shí),這些協(xié)議會(huì)經(jīng)常的跟相鄰的路由器進(jìn)行通信,以判斷對方的運(yùn)作狀態(tài)是否正常。無疑,這會(huì)增加路由器以及企業(yè)網(wǎng)絡(luò)帶寬的負(fù)擔(dān)。
但是,以上這個(gè)優(yōu)點(diǎn)不是我們采用靜態(tài)路由的主要原因。因?yàn)殡S著企業(yè)網(wǎng)絡(luò)的改造升級(jí),這些路由器資源或者網(wǎng)絡(luò)帶寬的限制,已經(jīng)不再是企業(yè)網(wǎng)絡(luò)組建過程中的瓶頸資源。決定讓我們采用靜態(tài)路由技術(shù)的,是其另外一個(gè)特點(diǎn)。網(wǎng)絡(luò)管理員可以借助靜態(tài)路由,實(shí)現(xiàn)對網(wǎng)絡(luò)訪問的控制。
如筆者所在的企業(yè)是一個(gè)大的集團(tuán)公司,集團(tuán)總公司跟下面一個(gè)三個(gè)子公司是采用同一個(gè)網(wǎng)絡(luò)。現(xiàn)在在網(wǎng)絡(luò)組建時(shí),領(lǐng)導(dǎo)希望各個(gè)子公司、集團(tuán)公司的網(wǎng)絡(luò)能夠相互獨(dú)立,工作起來互不干擾。
當(dāng)然實(shí)現(xiàn)這個(gè)需求的方法可以有很多,如可以為各個(gè)子公司都申請一個(gè)獨(dú)立的上網(wǎng)帳號(hào),但是,這種處理方式的話,就是有些浪費(fèi),因?yàn)榧瘓F(tuán)公司已經(jīng)有光釬網(wǎng)絡(luò),若再特意的為其他公司開通網(wǎng)絡(luò)而不走集團(tuán)的線路的話,那需要額外的支付不少的錢,而且,速度可能也沒有光纖網(wǎng)絡(luò)那么快,所以,是不怎么現(xiàn)實(shí)。
再者,若理由CISCO路由器的訪問控制列表也可以實(shí)現(xiàn)相關(guān)的控制。但是,這個(gè)需要路由器能夠支持這個(gè)功能,而且,配置起來也有一定的方法,維護(hù)起來也不是很方面。所以,根據(jù)筆者的了解,訪問控制列表雖然是一個(gè)很不錯(cuò)的網(wǎng)絡(luò)訪問控制機(jī)制,但是,在實(shí)際應(yīng)用中,用的企業(yè)比較少,因?yàn)槠渑渲闷饋恚€是有一定的難度的。
實(shí)現(xiàn)網(wǎng)絡(luò)路由的控制
其實(shí),我們可以利用靜態(tài)路由技術(shù),來實(shí)現(xiàn)網(wǎng)絡(luò)路由的控制。
在路由器的路由表中,大致包含以下信息。目的網(wǎng)絡(luò)地址、子網(wǎng)掩碼、網(wǎng)關(guān)、接口等等信息。目的網(wǎng)絡(luò)地址與子網(wǎng)掩碼跟數(shù)據(jù)包的發(fā)送IP地址一起,可以判斷出發(fā)送地址與目的地址是否屬于同一個(gè)網(wǎng)絡(luò),若屬于同一個(gè)網(wǎng)絡(luò)的話,則路由器不會(huì)進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)或者按預(yù)定的規(guī)則進(jìn)行處理。而若發(fā)送地址跟目的地址不是屬于同一個(gè)子網(wǎng)的話,則路由器就會(huì)根據(jù)路由表中的信息進(jìn)行路徑的判斷。若路由器找不到合適的路徑的話,在該數(shù)據(jù)轉(zhuǎn)發(fā)就會(huì)被終止而我們網(wǎng)絡(luò)管理員就可以根據(jù)這個(gè)特性來作好路由訪問的控制。
如筆者現(xiàn)在的集團(tuán)公司,加上下面三個(gè)子公司的話,一共有四個(gè)子網(wǎng),通過路由器對其進(jìn)行連接,可以實(shí)現(xiàn)四網(wǎng)的相互通信。但是,此時(shí)不同公司之間的網(wǎng)絡(luò)通信是相互允許的。但是,出于種種的考慮,他們之間的通信是沒有必要的,同時(shí)也會(huì)給我們網(wǎng)絡(luò)維護(hù)帶來很大的干擾。如一個(gè)子網(wǎng)內(nèi)中毒了,就可能影響到另一個(gè)網(wǎng)絡(luò)的性能,其他網(wǎng)絡(luò)也可能被感染上。同時(shí),由于各個(gè)子網(wǎng)內(nèi)的計(jì)算機(jī)可以相互訪問,如此的話,也不利于各個(gè)企業(yè)數(shù)據(jù)的安全性。而從實(shí)際工作出發(fā),由于各個(gè)公司之間是相互獨(dú)立的,所以,彼此之間一般都不需要進(jìn)行相互的訪問。故,無論從哪一個(gè)理由出發(fā),都沒有必要對各個(gè)子網(wǎng)進(jìn)行相互訪問。為此,我們就可以利用上面談到的靜態(tài)路由,來實(shí)現(xiàn)網(wǎng)絡(luò)訪問的控制。
如現(xiàn)在公司的網(wǎng)絡(luò)一共有五個(gè)路由器連接,四個(gè)路由器連接四個(gè)子網(wǎng),再用一個(gè)路由器連接到外網(wǎng)上。現(xiàn)在我們就可以在四個(gè)連接子網(wǎng)的路由器上,進(jìn)行靜態(tài)路由的設(shè)置。如我們在連接集團(tuán)總公司子網(wǎng)的路由器上,就可以設(shè)置靜態(tài)路由。從集團(tuán)子網(wǎng)的路由器中,向外的話只知道第五個(gè)路由器信息,而不知道其他三個(gè)連接子網(wǎng)的路由器路徑。如此的話,這個(gè)路由器即使想把數(shù)據(jù)包發(fā)送給其他子網(wǎng)的話,也會(huì)以失敗而告終。同時(shí),其仍然可以正常的訪問外網(wǎng)。
可見,利用靜態(tài)路由的話,可以幫助網(wǎng)絡(luò)管理員來加強(qiáng)對于網(wǎng)絡(luò)訪問的控制。雖然說靜態(tài)路由的配置工作量比較大,但是,對于企業(yè)網(wǎng)絡(luò)來說,還是一個(gè)簡單的網(wǎng)絡(luò)結(jié)構(gòu),實(shí)現(xiàn)起來比較容易。根據(jù)筆者的了解,其實(shí)一個(gè)比較復(fù)雜的企業(yè),其路由器級(jí)連的話,也不會(huì)超過五級(jí)。所以,靜態(tài)配置路由的話,也不會(huì)很復(fù)雜。
另外筆者在此再貢獻(xiàn)一個(gè)手工配置靜態(tài)路由的方法。我們在路由器上配置靜態(tài)路由之前,可以先把路由器設(shè)置為動(dòng)態(tài)路由表,然后,查看相關(guān)的路由信息,把不需要的路由信息找出來。然后再在路由器上進(jìn)行相關(guān)的配置。如此的話,一方面可以防止漏掉有用的路由記錄,另一方面,也可以禁止掉所有不用的路由信息,同時(shí),我們在配置的時(shí)候,也可以省事很多,因?yàn)橛辛藚⒖嫉囊罁?jù)。
在靜態(tài)路由配置的時(shí)候,還需要注意以下幾點(diǎn):
1.盡量用交換機(jī)來代替路由器。若企業(yè)在網(wǎng)絡(luò)部署中采用靜態(tài)路由控制網(wǎng)絡(luò)訪問的話,則網(wǎng)絡(luò)部署好之后,最好不要再采用其他的路由器來擴(kuò)展網(wǎng)絡(luò)應(yīng)用,而最好利用交換機(jī)來代替路由器。也就是說,最好能夠保障企業(yè)網(wǎng)絡(luò)內(nèi)部路由器數(shù)量與布局的穩(wěn)定,如此的話,可以減少路由器配置的工作量。
2.在路由器上配置好靜態(tài)路由的話,一般是保存在running-config文件中。而這個(gè)文件是臨時(shí)文件,當(dāng)路由器重新啟動(dòng)的時(shí)候,該文件中的信息就會(huì)消失。所以,當(dāng)靜態(tài)路由配置完成并測試沒有問題的話,就需要利用COPY命令把靜態(tài)路由表信息保存到startup-config中。并且,最好能夠在異地進(jìn)行備份。如此的話,當(dāng)路由器出現(xiàn)故障時(shí),不需要在后備路由器是進(jìn)行額外的設(shè)置,就可以馬上使用了。
3.根據(jù)企業(yè)對于網(wǎng)絡(luò)安全性的要求不同,采取不同的管理策略。不同的企業(yè)有不同的網(wǎng)絡(luò)安全需求,所以,對于靜態(tài)路由表的需求也不同。若企業(yè)的規(guī)模很小,只有幾十臺(tái)電腦,沒有不同子網(wǎng)的劃分;或者企業(yè)對于網(wǎng)絡(luò)安全的要求不是很高,此時(shí),采用靜態(tài)路由配置的話,那是自找苦吃,根本沒有實(shí)際的作用。一般靜態(tài)路由是用來那些對于網(wǎng)絡(luò)安全要求比較高或者網(wǎng)絡(luò)主機(jī)數(shù)比較過、有多個(gè)子網(wǎng)的情況下,才會(huì)使用。所以,不是什么技術(shù)都是適合企業(yè)的,要根據(jù)企業(yè)自身的情況,作出合理的選擇。
