第14卷第2期2001年5月

镇江高专学报JournalofZhenjiangCollegeV01.
14MayNo.
22001中小型网络系统的路由策略杨悦民,吴斌,(镇江市高等专科学校,唐涛,江卫星江苏镇江212003)摘要:对中小型网络路由器的配置,特别是对访问控制、建立防火墙及其他一些安全措施通过实例进行了描述.
关键词:路由器;信息包;访问控制中图分类号:TP393文献标识码:B文章编号:1008—8148(2001)02—0041-030引言Intemet是最典型的广域网(wAN),是由分布在世界各地的几百万个独立的网络组成的.
网与网之间通常是通过路由器(Route)相连的.
我们上网时,下载或上载信息包(Packet)都是通过路由器转发的.

路由器记忆着互联网(Intemet)上的其他网络号,并且能产生路由信息包的最佳方案,甚至能做出更复杂的决策.
例如当某一网络上的相关设备发生故障时,通过跟踪互联网的拓扑结构,而改变路由途径.
通过路由器,我们可以记录用户的上网信息,作为计费的依据;可以建立访问控制,形成防火墙;可以将口地址与MAC地址捆绑,以防止Ⅲ地址被盗用;可以建立异步接12I,为用户提供远程拨号上网服务等等.

所以,按照确定的网管策略,配置好路由器,是一项很重要的工作.
我校1999年建设校园网,使用cisc02511路由器,本文所述是以我校路由器配置为例的.
1基本配置基本配置是使路由器运行的最低配置,有三项.
一为指向局域网(U州)的Ethemet0端口配置;二为指向广域网(wAN)的Srtial0端口配置.
三为实现路由寻径的路由表配置.
1.
1Ethemet0端口配置其命令为:Router(eonfig)#interfaceEthemet0Router(config—If)#ipaddress210.
29.
88.
5255.
255.
255.
0Et}Iemet0端I=I与局域网相连,这一配置定义Et}lemet0的口地址,即网关(gateway).
我校校园网申请到8个C类口地址,为了能使用8个C类地址的全部资源,我们曾将子网掩码的第三部分由255改为248.
实践证明,此法虽可达到使用8个C类地址的目的,但路由器会把8个网段作为一个网段对待,故不可取.
而这一目标,可通过路由表实现.
1.
2Serial0端口配置,其命令为:Router(eonfig)#interfaceSerial0Router(cordig—if)#IPaddress192.
168.
88.
101255.
255.
255.
252$erail0端口与广域网相连.
其节点在江苏理工大学.
192.
168.
88.
101是一个内部网地址,不属于任何[收稿日期】2000—9—7[作者简介]杨悦民(1956一),男,陕西户县人,高级实验师,主要从事计算机网络研究.

吴斌(19r71一),男.
江苏丹阳人,实验师.
·41·万方数据已分配的网段,如使用已分配的口地址,不但浪费有限的口资源,还影响到相关部分的路由配置.

1.
3路由表配置,其命令为:Router(Confi91#IProute0.
0.
0.
00.
0.
0.
0Serial0Router(Config)#IProute210.
29.
88.
0255.
255.
248.
0Serial0210.
29.
88.
4路由表配置分静态路由和动态路由.
静态路由表在路由器运行过程中不需要动态刷新,因此,可节省带宽,适用于规模不大的互联网中.
我校校园网属中小型网络,故使用静态路由表,可提高网络访问速度.
其他端口,如Serial1在未定义情况下,默认为shutdown状态.
另外,路由器必须设置口令.
这些口令只有加密,才能不被别人看到,完成这一功能的设置为:Router(con_fig)#Servicepassword—encyption2访问控制.
建立防火墙功能简单的说,访问控制就是允许或禁止一些口地址对网络访问权限的设置,其目的包括两个方面:一是允许内部网主机根据需要访问外部网上的计算机;二是允许外部网用户访问内部网上的服务器,根据上述论述,我们设计以下两种访问策略:2.
1涤鼠产分为i类2.
1.
1第一类设置成可直接访问国内外所有网络资源的用户,其命令为:Router(config)#access—list101permitIP210.
29.
88.
0O.
0.
0.
63any按照中国教育科研网(cemet)的收费政策,国内流量按带宽收费,其费用为固定的.
但访问国外资源要收取流人流量费.
故可访问国外资源的用户数,可通过改变通配码第四部分的适当限制.
本设置为63户,以便节约上网费用.
2.
1.
2第二类设置成只能访问国内资源的用户,其命令为:Router(corffig)#access—list101permitIP210.
29.
89.
00.
0.
0.
12761.
128.
0.
0Router(config)#access—list101permitIP210.
29.
89.
00.
0.
0.
127137.
189.
0.
0这部分用户需要把所有国内网段(已上网)按以上格式逐条写出.
(可在http://www.
NIC.
edu.
cn下载).
这部分用户设为127户.
其上网访问网络资源的多少与费用无关.

2.
1.
3第三类设置成仅能访问校园网资源的用户,其命令为:Router(corrfig)#access—list101denyIP210.
29.
90.
00.
0.
0.
255any这部分用户设为254个.
这部分用户如果允许访问国内资源,也不会增加网络费用,但考虑到我校到江苏理工大学的DDN专线仅64K,如允许过多的用户同时上网,势必造成信道拥挤,大家都感到网速太慢,影响上网的兴趣.
我校校园网为100M带宽,如能加强校园网资源建设,也能吸引更多的人上网.