路由器是连接两个或更多 IP 网络或子网络的设备。
阅读本文后,您将能够:
复制文章链接
路由器是连接两个或多个分组交换网络或子网络的设备。它有两个主要功能:通过将数据包转发到其预定的 IP 地址从而管理这些网络之间的流量,以及允许多个设备使用同一互联网连接。
路由器分为几种类型,但大多数路由器在 LAN(局域网)和 WAN(广域网)之间传递数据。LAN 是一组限制在特定地理区域的连接设备。一个 LAN 通常只需要一个路由器。
与之相反,WAN 是一个分布在广大地理区域的大型网络。例如,在全国各地多个地点运营的大型组织和公司将需要为每个地点建立单独的 LAN,然后与其他 LAN 连接,形成一个 WAN。由于 WAN 分布在一个大的区域内,它通常需要多个路由器和交换机*。
*网络交换机在同一网络的设备组之间转发数据包,而路由器则在不同网络之间转发数据。
把路由器想象成一个空中交通指挥员,把数据包想象成飞往不同机场(或网络)的飞机。就像每架飞机都有一个唯一的目的地并遵循唯一的路线一样,每个数据包都需要被尽可能高效地引导到其目的地。与空中交通指挥员员确保飞机到达目的地而不迷路或沿途遭受重大干扰一样,路由器帮助引导数据包到达其目标 IP 地址。
为了有效地引导数据包,路由器使用一个内部路由表——一个通往不同网络目的地的路径列表。路由器读取数据包的标头以确定其去向,然后查阅路由表以找出通往该目的地的最有效路径。然后,它将数据包转发到该路径中的下一个网络。
要了解有关 IP 路由及此过程中所使用协议的更多信息,请阅读什么是路由?
虽然一些互联网服务提供商 (ISP) 可能将路由器和调制解调器合并在一个设备中,但它们并不一样。两者在网络相互连接和连接到互联网方面发挥着不同但同等重要的作用。
路由器形成网络并管理这些网络内部和之间的数据流,而调制解调器将这些网络连接到互联网。调制解调器通过将来自 ISP 的信号转换为可由任何连接设备解释的数字信号,来建立与互联网的连接。一台设备可以插入到调制解调器中,以便连接到互联网。另外,路由器可以帮助将这一信号分发给一个已建立网络中的多个设备,使所有设备能够同时连接到互联网。
可以这样想:如果 Bob 有一个路由器,但没有调制解调器,他将能够创建一个 LAN 并在该网络上的设备之间发送数据。但是,他无法将该网络连接到互联网。另一方面,Alice 有一个调制解调器,但没有路由器。她将能够将单个设备连接到互联网(例如,她的工作笔记本电脑),但不能将该互联网连接分发到多个设备(比如说,她自己的笔记本电脑和智能手机)。与此同时,Carol 有一个路由器和一个调制解调器。使用这两种设备,她可以与她的台式电脑、平板电脑和智能手机组成一个 LAN,并将它们同时连接到互联网。
要将 LAN 连接到互联网,路由器首先需要与调制解调器通信。有两种主要的方式来实现这一点:
除了适用于小型 LAN 的无线和有线路由器外,还有许多专门类型的路由器,用于提供特定的功能:
SSID是指"服务集标识符," ,它是WLAN路由器广播的网络名称的技术术语。 SSID使用户能够找到并连接到由路由器广播的无线网络(一个适当安全的路由器应该也需要输入密码)。 用于WiFi网络的消费者路由器通常将其出厂默认的SSID印在侧面或底部。
漏洞利用:所有基于硬件的路由器都随附自动安装的软件,称为固件,固件用于帮助路由器执行其功能。像任何其他软件一样,路由器固件经常包含网络攻击者可以利用的漏洞(示例),路由器供应商定期发布更新,以修补这些漏洞。出于此原因,路由器固件需要定期更新。未修补的路由器可能被攻击者入侵,使他们能够监控流量或将路由器用作僵尸网络的一部分。
DDoS 攻击:小型和大型组织经常成为分布式拒绝服务 (DDoS) 攻击的目标,此类攻击针对公司的网络基础设施。如果不对网络层 DDoS 攻击进行缓解,可能使路由器不堪重负或导致它们崩溃,从而导致网络停机。Cloudflare Magic Transit 是保护路由器和网络免受此类 DDoS 攻击的一个解决方案。
管理凭据:所有路由器都有一套管理凭据,用于执行管理功能。这些凭据被设置为默认值,例如,以“admin”为用户名且以“admin”为密码。应尽快将用户名和密码重置为更安全的值:攻击者知道这些凭据的常见默认值,如果不重置,攻击者可以利用它们远程控制路由器。