2007年8月13日 星期一

路由(Routing)



路由(Route)這個字對於大多數的IT人來說,應該一點都不覺得奇怪,可是現在愈來愈多IP分享器的設備,同時也具備設定靜態路由的設定,不過靜態路由該怎麼設呢?

對一般人來說,靜態路由設定的機會不多,除非是你有把網段做特定的切割時,但又想要兩者之間能夠進行溝通,才會有這部分的設定,筆者就以前上課時所學,來與大家一同分享,希望能夠對靜態路由能有更加明確的認識

其中還包括了最快路徑(例:RIP協定)和最佳(短)路徑(例:OSPF協定)的差別

首先,要說明網路的環境條件,其中包括了三個網段(192.168.1.x、192.168.2.x、192.168.3.x),兩個路由器(A、B-Router)、一個NAT主機、一台ADSL MODEM(濾波器略),而靜態路由則是設定在兩台Router上

設定內容如下:
A-Router:
     Destimation   Network     Gateway(Interface)
     192.168.1.0   255.255.255.0  192.168.1.200
     192.168.2.0   255.255.255.0  192.168.2.100
     192.168.3.0   255.255.255.0  192.168.2.200(*)
     0.0.0.0     0.0.0.0     192.168.2.200

B-Router:
     Destimation   Network     Gateway(Interface)
     192.168.2.0   255.255.255.0  192.168.2.200
     192.168.3.0   255.255.255.0  192.168.3.100
     192.168.1.0   255.255.255.0  192.168.2.100(*)
     0.0.0.0     0.0.0.0     192.168.3.200

*:該列規則可用靜態路由(手動)或動態路由(Router自己學習)產生

文字說明:
Destimation:目的地
Network:子網路遮罩
Gateway(Interface):閘道器、界面

筆者就上述的路由意義加以說明,其實路由表(Routing Table)就是只封包傳遞的方向,因為網段的不同,所以要告訴網路上的封包應該傳給那一個Gateway介面來處理這個封包,相關的原理請各位去翻翻相關書籍或Google上應該也有不少

A路由器:對192.168.1.x網段(gateway:192.168.1.200)
1. 192.168.1.10要送至192.168.2.10的封包傳至A的192.168.1.200
 經A內部192.168.1.200-->192.168.2.100再將封包傳給192.168.2.10
2.192.168.1.10要送至192.168.3.10的封包會走0.0.0.0規則(靜/動態路由未設)
 封包至192.168.1.200經A的192.168.2.100傳至B的192.168.2.200
 經B將封包透過192.168.3.100-->192.168.3.10
3.未限定網段的封包傳送路徑與傳至192.168.3.x相同,最後由B把封包送至NAT
 最後,經由NAT的路由設定轉發出去Internet
4.靜態(手動)或動態路由已建立(RIP、OSPF),就多192.168.3.0的規則
 A路由器接受到要往192.168.3.x的封包會直接轉發給192.168.2.200(B)

B路由器:對192.168.3.x網段(gateway:192.168.3.100)
1. 192.168.3.10要送至192.168.2.10的封包傳至B的192.168.3.100
 經A內部192.168.3.100-->192.168.2.200再將封包傳給192.168.2.10
2.192.168.3.10要送至192.168.1.10的封包會走0.0.0.0規則(靜/動態路由未建)
 封包送至192.168.3.200經NAT的192.168.3.200至B的192.168.2.200(NAT)
 B的192.168.2.200-->192.168.2.100,經A的192.168.1.200傳至192.168.1.10
3.未限定網段的封包會傳至192.168.3.200,經NAT的路由設定轉發出去Internet
4.靜態(手動)或動態路由已建立(RIP、OSPF),就多192.168.1.0的規則
 B路由器接受到要往192.168.1.x的封包會直接轉發給192.168.2.100(A)

A、B路由器:對192.168.2.x網段(gateway:192.168.2.100)
1. 192.168.2.10要送至192.168.1.10的封包傳至A的192.168.2.100
 經A內部192.168.2.100-->192.168.1.200再將封包傳給192.168.1.10
2.192.168.2.10送至192.168.3.10,傳至192.168.2.100(靜/動態路由未建) 
 A會套用0.0.0.0規則,把封包傳至192.168.2.200
 經B(192.168.3.100)傳給192.168.3.10
3.未限定網段的封包先傳至A的192.168.2.100(0.0.0.0規則)
 再轉發至192.168.2.200,經B(0.0.0.0規則)發至192.168.3.200
 最後再經由NAT轉發出去Internet
4.當A和B加入靜/動態路由,192.168.2.10傳192.168.3.10的路徑不變

以上規則中,可以看出路由設定時,除了手動設定的路由之外,由路由協定所產生的動態路由,能夠有效的減少封包的傳送路徑(RIP:中小型網路、OSPF:大型網路)

經過筆者說明,不知大家是否比較有概念了呢?(老實說,應該絕大多數人都不會想要自己手動設定),筆者對於這部份的內容並非如此熟稔,如有錯誤處還煩請留言來信指導

話說回來,Router數多,使用者有上百人,要做網段切割,還要限定封包走向(一來一往),我想建構這樣子大系統的Routing Table,腦子要很有力,不然鐵定會錯亂!

2 則留言:

  1. 有人說:

    路由器的使用者較不會電腦中毒

    果真如此?

    回覆刪除
  2. 應該是說,可以避免掉不必要來自網路上攻擊,比較不會中毒這種說法,筆者維持保留的態度

    因為你看一下路由的用意,其實只是告訴封包去那裡,應該要往什麼方向去,其實對於區網內的某些服務,有相對安全的優勢

    所以,就像你躲在防火牆後端一樣,大部份的外部攻擊,都會在路由器端,對於你使用的電腦本機來說,比較有保障

    不知我這樣子說能理解嗎?

    電腦中毒很少是因為系統本身的漏洞,或是有開了什麼特定port所造成

    因為一般的個人pc都不會對外提供服務,如果本機端,因為使用者的疏忽,被開了後門的話

    這時候路由的設定,就是可以保護你不被外界控制的最後防線

    所以較不會中毒這一點,其實用意還是不同的(針對路由而言),不然我也不會成天在公司幫人掃毒解毒了...

    回覆刪除