萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 利用靜態路由實現網絡訪問控制

利用靜態路由實現網絡訪問控制

    當一台主機應用需要向位於不同網絡的目的地發送數據包時,路由器從一個接口接受數據信息。網絡層會檢查這個數據包來決定預計發送的網絡,然後,路由器會檢查自己的路由表,並利用路由表的信息來判斷預計要發送的端口。路由器再次把數據報按一定的規則進行封裝,然後把數據包在某個端口轉發出去。
  
    路由器再轉發任何一個數據包的時候,都會發生這個路由判斷的過程。路由判斷使得路由器能夠選擇最合適的接口來轉發數據包。也就是說,路由器主要是靠路由表來工作的,若沒有路由表或者路由表中的信息錯誤的話,則路由器將如同一堆廢鐵,沒有任何價值。
  
    根據路由表生成機制的不同,可以分為靜態路由與動態路由。
  
    動態路由是指路由器會根據一定的方法,自動更新路由表。因為在網絡中,當添加某個路由器或者某條鏈路發生故障時,在網絡上都會產生一些信息來告知對方。路由器就是根據這些信息來更新自己的路由表,並按照一些預定的規則,來調整相關的路由信息。可見,采用動態路由的話,可以方便我們的管理。但是,其也會帶來一些問題。如動態路由會把網絡中所有可見的路由都在查尋出來,也就是說,采用路由器的動態路由的話,只要數據鏈路不出現問題,一般來說,各個網絡都是可達的,這就不利於網絡管理員控制網絡訪問。
  
    靜態路由是由網絡管理員手工更新路由表。當網絡的拓撲結構發生變化或者路由器增加與減少等等,都需要網絡管理員手工的去更新路由器的路由表,否則的話,網絡通訊就會產生影響。不過,靜態路由跟動態路由比較起來,最大的缺點就是需要網絡管理員手工的更新路由表,無論企業的網絡發生任何的改變。這對於網絡管理員來說,是工作量非常大的一件工作。
  
    不過,靜態路由也有其好處,如:一方面不需要啟用動態路由選擇協議服務,因此可以減少路由器的運行資源開銷。而且,在網絡中,也不需要進行信息的發送與傳遞,可以減少由此帶來的帶寬的占用。要實現動態路由的話,必須要有一些協議的支持,如RIP等等。這些協議規定了路由器中路由表的生成規則。而運行這些協議的話,畢竟會占用路由器的資源,同時,這些協議會經常的跟相鄰的路由器進行通信,以判斷對方的運作狀態是否正常。無疑,這會增加路由器以及企業網絡帶寬的負擔。
  
    但是,以上這個優點不是我們采用靜態路由的主要原因。因為隨著企業網絡的改造升級,這些路由器資源或者網絡帶寬的限制,已經不再是企業網絡組建過程中的瓶頸資源。決定讓我們采用靜態路由技術的,是其另外一個特點。網絡管理員可以借助靜態路由,實現對網絡訪問的控制。
  
    如筆者所在的企業是一個大的集團公司,集團總公司跟下面一個三個子公司是采用同一個網絡。現在在網絡組建時,領導希望各個子公司、集團公司的網絡能夠相互獨立,工作起來互不干擾。
  
    當然實現這個需求的方法可以有很多,如可以為各個子公司都申請一個獨立的上網帳號,但是,這種處理方式的話,就是有些浪費,因為集團公司已經有光釬網絡,若再特意的為其他公司開通網絡而不走集團的線路的話,那需要額外的支付不少的錢,而且,速度可能也沒有光纖網絡那麼快,所以,是不怎麼現實。
  
    再者,若理由CISCO路由器的訪問控制列表也可以實現相關的控制。但是,這個需要路由器能夠支持這個功能,而且,配置起來也有一定的方法,維護起來也不是很方面。所以,根據筆者的了解,訪問控制列表雖然是一個很不錯的網絡訪問控制機制,但是,在實際應用中,用的企業比較少,因為其配置起來,還是有一定的難度的。
  其實,我們可以利用靜態路由技術,來實現網絡路由的控制。
  
    在路由器的路由表中,大致包含以下信息。目的網絡地址、子網掩碼、網關、接口等等信息。目的網絡地址與子網掩碼跟數據包的發送IP地址一起,可以判斷出發送地址與目的地址是否屬於同一個網絡,若屬於同一個網絡的話,則路由器不會進行數據的轉發或者按預定的規則進行處理。而若發送地址跟目的地址不是屬於同一個子網的話,則路由器就會根據路由表中的信息進行路徑的判斷。若路由器找不到合適的路徑的話,在該數據轉發就會被終止而我們網絡管理員就可以根據這個特性來作好路由訪問的控制。
  

copyright © 萬盛學電腦網 all rights reserved