|
|
在路由器的表中,大致包含以下信息。目的地址、子网掩码、网关、接口等等信息。
目的网络地址与子网掩码跟数据包的发送IP地址一起,可以判断出发送地址与目的地址是否属于同一个网络,若属于同一个网络的话,则路由器不会进行数据的转发或者按预定的规则进行处理。而若发送地址跟目的地址不是属于同一个子网的话,则路由器就会根据路由表中的信息进行路径的判断。若器找不到合适的路径的话,在该数据转发就会被终止而我们管理员就可以根据这个特性来作好访问的控制。
如笔者现在的集团公司,加上下面三个子公司的话,一共有四个子网,通过路由器对其进行连接,可以实现四网的相互通信。但是,此时不同公司之间的网络通信是相互允许的。但是,出于种种的考虑,他们之间的通信是没有必要的,同时也会给我们网络维护带来很大的干扰。如一个子网内中毒了,就可能影响到另一个网络的性能,其他网络也可能被感染上。同时,由于各个子网内的计算机可以相互访问,如此的话,也不利于各个企业数据的安全性。而从实际工作出发,由于各个公司之间是相互独立的,所以,彼此之间一般都不需要进行相互的访问。故,无论从哪一个理由出发,都没有必要对各个子网进行相互访问。为此,我们就可以利用上面谈到的静态,来实现访问的控制。
如现在公司的一共有五个路由器连接,四个路由器连接四个子网,再用一个路由器连接到外网上。现在我们就可以在四个连接子网的路由器上,进行静态路由配置的设置。如我们在连接集团总公司子网的路由器上,就可以进行静态路由配置。从集团子网的路由器中,向外的话只知道第五个路由器信息,而不知道其他三个连接子网的路由器路径。如此的话,这个器即使想把数据包发送给其他子网的话,也会以失败而告终。同时,其仍然可以正常的访问外网。
可见,利用静态路由的话,可以帮助网络管理员来加强对于网络访问的控制。虽然说静态配置工作量比较大,但是,对于企业网络来说,还是一个简单的结构,实现起来比较容易。根据笔者的了解,其实一个比较复杂的企业,其路由器级连的话,也不会超过五级。所以,静态配置的话,也不会很复杂。
另外笔者在此再贡献一个手工配置静态路由的方法。我们在路由器上静态路由配置之前,可以先把路由器设置为动态路由表,然后,查看相关的路由信息,把不需要的路由信息找出来。然后再在路由器上进行相关的配置。如此的话,一方面可以防止漏掉有用的路由记录,另一方面,也可以禁止掉所有不用的路由信息,同时,我们在配置的时候,也可以省事很多,因为有了参考的依据。在静态配置的时候,还需要注意以下几点:
1.尽量用交换机来代替路由器。若企业在网络部署中采用静态路由控制网络访问的话,则网络部署好之后,最好不要再采用其他的路由器来扩展网络应用,而最好利用交换机来代替器。也就是说,最好能够保障企业 |
|
发表于 2019-4-12 10:36:27