路由技术:用静态路由控制网络访问

当主机应用程序需要向不同网络中的目的地发送数据包时，路由器会从接口接收数据信息。网络层将检查此数据包，以确定要发送的网络。然后，路由器将检查其路由表，并使用路由表的信息来确定要发送的端口。路由器再次按照一定的规则封装数据报，然后在某个端口转发数据包。
当路由器转发任何一个数据包时，都会发生这个路由判断过程。路由使路由器能够选择最合适的接口来转发数据包。也就是说，路由器主要依赖路由表。如果没有路由表或者路由表中的信息是错误的，路由器就会像一堆废铁一样，没有任何价值。
路由表生成机制的分类
根据路由表生成机制的不同，可以分为静态路由和动态路由。
动态路由是指路由器会根据一定的技巧自动更新路由表。因为在网络中，当增加一个路由器或者一条链路出现故障时，网络上会产生一些信息通知对方。路由器根据这些信息更新它们的路由表，并根据一些预定的规则调整相关的路由信息。可见使用动态路由可以方便我们的管理。但是，也会带来一些问题。比如动态路由会找出网络中所有可见的路由，也就是说，如果采用路由器的动态路由，只要数据链路没有问题，一般来说所有网络都是可达的，不利于网络管理员对网络访问的控制。
静态路由是由网络管理员手动更新的路由表。当网络拓扑发生变化或路由器数量增加或减少时，等等。，需要网络管理员手动更新路由器路由表，否则会对网络通信产生影响。然而，与动态路由相比，静态路由的缺点是网络管理员需要手动更新路由表，而不管企业网络中的任何变化。这对网络管理员来说是非常繁重的工作量。
但是，静态路由也有它的优势，比如:一方面，不需要启用动态路由协议服务，因此可以减少路由器的运行资源开销。而且在网络中，不需要发送和传输信息，可以减少对带宽的占用。要实现动态路由，必须支持一些协议，如RIP等。这些协议规定了路由器中路由表的生成规则。毕竟，运行这些协议会占用路由器的资源。同时，这些协议会经常与邻居路由器进行通信，判断对方路由器的运行状态是否正常。无疑，这将增加路由器和企业网络带宽的负担。
然而，上述优势并不是我们采用静态路由的主要原因。随着企业网络的转型升级，这些路由器资源或者网络带宽的限制已经不再是企业网络建立过程中的瓶颈资源。决定我们采用静态路由技术的是它的另一个特点。网络管理员可以通过静态路由来控制网络访问。
如果你的公司是大型集团公司，集团总公司和下面三个子公司使用同一个网络。现在网络搭建的时候，领导希望所有子公司和集团公司的网络能够相互独立，互不干扰的工作。
当然，实现这种需求的技巧有很多，比如为每个子公司申请一个独立的网上账户。不过这种处理有点浪费，因为集团公司已经有光钎网络了。如果故意为其他公司架设网络，而不是走集团路线，那就要额外付出很多钱。而且速度可能没有光纤网快，不太现实。
此外，CISCO路由器的访问控制列表也可以实现相关的控制。但是，这要求路由器能够支持此功能。而且在配置上有一定的技巧，不太好维护。因此，根据考察，虽然访问控制列表是一种非常好的网络访问控制机制，但在实际应用中，很少有企业使用，因为它的配置仍然比较困难。
实现网络路由的控制
实际上，我们可以利用静态路由技术来实现网络路由的控制。
在路由器的路由表中，大致包括以下信息。目的地址、子网掩码、网关、接口等。目的地址和子网掩码以及数据包的发送IP地址可以确定发送地址和目的地址是否属于同一个网络。如果它们属于同一个网络，路由器将不会根据预定的规则转发数据或处理数据。如果发送地址和目的地址不属于同一个子网，路由器会根据路由表中的信息判断路径。如果路由器找不到合适的路径，数据转发就会在这里终止，我们的网络管理员可以根据这个特性来控制路由接入。
比如现在的集团公司，加上下面的三个子公司，总共有四个子网，通过路由器连接起来就可以互相通信。但是，此时，不同公司之间的网络通信是允许的。但是由于各种考虑，它们之间的通信是不必要的，而且也会给我们的网络维护带来很大的干扰。如果一个子网中毒，可能会影响另一个网络的性能，其他网络也可能被感染。同时，由于各个子网内的计算机可以相互访问，不利于各个企业数据的安全。从实际工作来看，由于公司之间相互独立，一般不需要互相拜访。因此，没有必要因为任何原因而访问每个子网。因此，我们可以使用上面提到的静态路由来实现对网络访问的控制。
举个例子，目前公司的网络有5个路由器连接，4个路由器连接4个子网，然后1个路由器连接外网。现在，我们可以在连接到子网的四台路由器上设置静态路由。例如，如果我们在连接到集团总部子网的路由器上，我们可以设置静态路由。在组子网中的路由器中，只有第五个路由器的信息是已知的，但其它三个相连子网的路由器路径是未知的。在这种情况下，即使该路由器想要向其他子网发送数据包，它也会失败。同时还能正常访问外网。
可见，静态路由可以帮助网络管理员加强对网络访问的控制。虽然静态路由的配置工作量比较大，但对于企业网来说，仍然是一种简单的网络结构，易于实现。据考，其实一个复杂的企业，如果它的路由器都是同一级连接的话，也不会超过第五级。所以静态配置路由不会很复杂。
又一场考试。这是手动配置静态路由的另一个技巧。我们在路由器上配置静态路由之前，可以先将路由器设置为动态路由表，然后查看相关路由信息，找出不必要的路由信息。然后在路由器上进行相关配置。这样一方面可以防止遗漏有用的路由记录，另一方面可以禁止所有未使用的路由信息。同时，我们在配置的时候，可以省去很多麻烦，因为我们有了参考依据。
在配置静态路由时，还需要注意以下几点:
1 .尝试用交换机代替路由器。如果企业在网络部署中使用静态路由控制网络接入，网络部署后，不要使用其他路由器扩展网络应用，而要使用交换机而不是路由器。也就是说可以保证企业网络中路由器数量和布局的稳定性，从而减少路由器配置的工作量。
2。如果在路由器上配置了静态路由，它通常保存在运行配置文件中。该文件是一个临时文件。当路由器重新启动时，该文件中的信息将会消失。因此，当静态路由配置完成且测试没有问题时，您需要使用COPY命令将静态路由表信息保存到startup-config中。并且可以异地备份。这样，当路由器出现故障时，无需在备份路由器中进行额外设置，即可立即使用。
3。根据企业对网络安全的不同要求，采取不同的管理策略。不同的企业有不同的网络安全需求，所以对静态路由表的要求也不同。如果企业规模很小，只有几十台电脑，没有不同子网的划分；或者企业对网络安全的要求不是很高。这时候如果采用静态路由配置，那就是自找麻烦，根本没有实际作用。一般来说，静态路由只在对网络安全要求较高或者网络主机数量比较多且有多个子网的情况下使用。所以，并不是所有的技术都适合企业，要根据企业自身的情况做出合理的选择。