思科网络访问控制之静态路由配置
在我们平时使用路由器的过程中,若路由器找不到合适的路径,在该数据转发就会被终止,而我们网络管理员就可以根据这个特性来作好路由访问的控制。
一、什么是网络访问控制
一般路由器的路由表中,大致包含子网掩码、目的网络地址、网关、接口等等这些信息。目的网络地址与子网掩码跟数据包的发送IP地址一起,可以判断出发送地址与目的地址是否属于同一个网络。若发送地址跟目的地址不是属于同一个子网的话,路由器就会根据路由表中的信息进行路径的判断;属于同一个网络的话,路由器不会进行数据的转发或者按预定的规则进行处理。
利用静态路由可以帮助网络管理员来加强对于网络访问的控制,虽然说静态路由配置工作量比较大,但是对于企业网络来说还是一个简单的网络结构,实现起来比较容易。
二、手工配置静态路由
在路由器上静态路由配置之前,可以先把路由器设置为动态路由表,然后查看相关的路由信息,把不需要的路由信息找出来,再在路由器上进行相关的配置。一方面可以防止漏掉有用的路由记录,另一方面也可以禁止掉所有不用的路由信息。在静态路由配置的时候,需要注意以下几点:
(1)根据企业对于网络安全性的要求不同,采取不同的管理策略
一般静态路由是用来那些对于网络安全要求比较高或者网络主机数比较过、有多个子网的情况下,才会使用。不同的企业有不同的网络安全需求,所以对于静态路由表的需求也不同。若企业的规模很小,只有几十台电脑,没有不同子网的划分或者企业对于网络安全的要求不是很高,此时采用静态路由配置的话,根本没有实际的作用。所以不是什么技术都是适合企业的,要根据企业自身的情况,作出合理的选择。
(2)尽量用交换机来代替路由器
若企业在网络部署中采用静态路由控制网络访问的话,则网络部署好之后,最好不要再采用其他的路由器来扩展网络应用,而最好利用交换机来代替路由器。最好能够保障企业网络内部路由器数量与布局的稳定,可以减少路由器配置的工作量。
(3)在路由器上配置好静态路由的话,一般是保存在running-config文件中
这个文件是临时文件,当路由器重新启动的时候,该文件中的信息就会消失。当静态路由配置完成并测试没有问题的话,就需要利用COPY命令把静态路由表信息保存到startup-config中。最好能够在异地进行备份。如此的话,当路由器出现故障时,不需要在后备路由器是进行额外的设置,就可以马上使用了。