路由器在企业局域网中的应用

2024年3月14日发(作者：)

路由器在企业局域网中的应用

路由器是局域网中非常重要的网络设备。本文首先介绍了路由器在局域网

中的主要几个应用方面，然后介绍了路由器的安全策略，最后介绍了路由器的几

种网络管理功能。

标签： 路由器 局域网 应用

随着信息技术的发展，世界经济正在走向信息化、全球化和市场化。各个企

业为了在竞争中取得成功，正在不断地利用现代网络技术和先进的网络设备，构

建企业管理办公系统和电子商务网站，实现企业高效率的运作，实践现代经营理

念和经营策略。在这样的大背景之下，建设企业的局域网便成为了现代企业的一

项迫切的任务。

在企业局域网中，路由器是最常见的也是非常重要的设备。本文重点介绍路

由器在局域网中的应用。

一、路由器用于分隔子网

在企业局域网内部，路由器的主要作用之一是分隔子网，同时隔离子网之间

的广播。早期的企业局域网中，所有主机处于同一逻辑网络中。随着企业网络规

模的不断扩大，局域网演变成以高速主干和路由器联接的多个子网所组成的园区

网，也就是说这样的局域网已经是立体层次结构了。这若干个子网在逻辑上独立，

而路由器就是惟一能够分隔它们的设备。

路由器负责子网间的报文转发，根据路由协议算法产生多条路由，而且能为

不同的网络应用选择各自不同的最佳路由。

路由器还负责子网间的广播隔离。路由器每一端口联接一个子网，不同的端

口属于不同的广播域，某一个端口的广播报文不能经过路由器广播出去扩散到整

个企业局域网。这样既做到了信息保密，也能隔离某些病毒发起的广播攻击。

在实际应用中，我们可以将路由器的不同端口用于联接不同的企业部门（即

同一部门的设备全部连接在路由器的同一端口下）。

二、路由器用于VLAN间的通信

为了更好地管理局域网，可以在局域网中划分VLAN。VLAN（Virtual Local

Area Network）的中文名为“虚拟局域网”，是将局域网设备从逻辑上劃分（不是

从物理上划分）成一个个网段，从而实现虚拟工作组的新兴数据交换技术。如果

没有路由的话，不同VLAN之间是不能相互通信的，这样增加了企业局域网的

安全性。如果需要在不同VLAN间通信，可以通过配置VLAN之间的路由来全

面管理企业内部不同管理单元之间的信息互访。

三、路由器作为局域网出口

路由器可以作为企业局域网联入广域网的接口。目前的企业可以选择多广域

网（WAN）端口路由器，这样的路由器允许局域网共享多条外线。它的好处有：

1.增加局域网出口带宽。用户可以多申请几条宽带线路，负载在这些端口之

间均衡，就相当于出口带宽扩展了几倍。由于每条宽带线路的费用不高，对于较

大的局域网也是很经济的。

2.线路备份。可以在不同的WAN口上选择不同的ISP（Internet Service

Provider）。如果某个ISP、某条线路出现故障时，可以把数据流量重新分配到没

有故障的端口上，整个网络还能正常运行。

3.享受更多的内容服务。不同的ISP提供不同的服务，例如游戏、视频点播

等。多个WAN口联接多个ISP，就可以享受这些服务。

多WAN口对路由器的硬件要求比较高，软件就更是复杂。但是对于现在那

些信息化程度较高的企业局域网及电子商务网站来说，网络业务必须是非常可

靠，须臾都不能离开的。所以多WAN口路由器是有它的优势的。

四、路由器的安全防御功能

局域网出口路由器一般处在防火墙的外部，负责联入广域网。此时路由器自

身的安全防御就显得非常重要，否则就可能被攻击者利用进而威胁到局域网。所

以一定要对路由器进行合理的配置，使路由器成为局域网抵御外部攻击的第一条

防线。

1.防止外部IP地址欺骗。外部网络的非法用户可以将自己的IP地址改成内

部网络的合法IP地址或回环地址，从而获得对局域网的非法访问权限。所以要

禁止源地址为私有地址、回环地址、多目的地址，以及没有列出源地址的所有数

据流。

2.防止外部非法探测。非法访问者在对内部网络发起攻击之前，常常使用

ping命令或其他命令探测网络，所以要禁止从外部使用这些命令。一般情况下是

阻止答复的输出，而不阻止探测的进入。

3.保护路由器不受攻击。路由器可以通过Telnet或SNMP进行访问，应该确

保Internet上没有人能用这些协议攻击路由器，所以需要在路由器的内部端口和

外部端口上禁止这些访问。

4.阻止对关键端口的非法访问。关键端口是指内部系统所使用的端口或者是

防火墙本身暴露的端口。必须对关键端口的访问加以限制，否则这些设备就很容

易受到外部攻击。

5.防止外部ICMP重定向欺骗。攻击者可以利用ICMP重定向来对路由器进

行重定向，将本应送到内部正确目标的数据重定向到它们所指定的设备，从而获

得有用信息。防范的命令是：no ip redirects。

6.防止外部源路由欺骗。源路由选择是指使用数据链路层信息来为数据报进

行路由选择，该技术可以使入侵者为内部网的数据报指定一个非法的路由，这样

原本应该送到合法目的地的数据报就会被送到入侵者指定的地址。禁止使用源路

由的命令是：no ip source-route。

7.防止盗用内部IP地址。攻击者可以盗用内部IP地址进行非法访问。而我

们可以在局域网内将MAC地址与IP地址进行绑定来解决这个问题。具体命令

是:arp固定IP地址MAC地址arpa。

路由器还有很多其他的安全防范的命令和措施，这里就不再赘述。路由器在

使用了上述安全措施之后，可以有效的提高整个局域网的安全性。但需要指出的

是，这些措施的使用既占用了路由器的资源，也耽误了时间，从而牺牲了局域网

的效率，会造成局域网对外部网络访问速度下降。

五、路由器的网络管理功能

路由器的网络管理功能比较多，这里重点讲述3个功能。

1.利用MAC地址管理局域网用户。每个局域网用户网卡的MAC地址是固

定不变的，所以通过用户的MAC地址对他们进行访问控制、设置权限。这个功

能可以通过路由器自带的“MAC地址控制”功能灵活实现。比如可以将网卡的

MAC地址与IP地址绑定，这样就保证在其他软件或硬件的安全设置项中进行的

设置不会由于用户随意更改IP而失去控制作用。再比如可以通过MAC地址设

置控制用户上网的权限或控制用户对共享设备的使用权限，这样可以减少共享设

备的负担，减少企业上网的费用。

2.利用封包过滤功能管理局域网用户。网络管理者可以对局域网流入和流出

的数据包进行过滤以实现某些网管策略。管理者可以指定每一条管理规则的有效

时间，比如所有主机在上班时间只能收发邮件但不能浏览网页等。再比如禁止所

有主机使用QQ，禁止所有主机访问特定IP地址的网站，禁止部分IP地址的主

机上网，禁止部分IP地址的主机的某些服务等等。这些功能都非常实用和有效，

可以在路由器的设置界面中进行选择和设置。

3.网络地址转换（NAT）功能。由于IP地址短缺的情况日益严重，一个企业

申请的合法的Internet 的IP地址很少，而内部网络用户很多。可以通过路由器

的NAT功能实现多个用户同时公用若干个合法IP与外部Internet 进行通信。另

一方面企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内

部网络与外部Internet 隔离开，外部用户根本不知道通过NAT设置的内部IP地

址。

除了以上介绍的功能之外，路由器还有配置管理、性能管理、容错管理和流

量控制等功能。

六、结束语

路由器在局域网中起着非常重要的作用，可是却有速度和价格上的劣势。但

是综合考虑网络管理、网络安全、线路情况、网络建设投资、网络管理投资等多

种因素，由路由器组成企业局域网还是具有较大优势的一种组网方式。

参考文献:

[1]康辉:计算机网络基础教程[M].北京:清华大学出版社，2005

[2]/html/Cisco/Route/

[3]傅连仲.计算机网络集成与实践[M].北京:电子工业出版社，2005

[4]/roudaogou/