了解一些關於路由器故（gù）障維（wéi）護的方法還是非常有幫助的，這裏我們主要介紹（shào）校園網常見路由器故障維護方法。限製邏輯訪問主要借助於合理處置訪問控製列表，限製遠程終端（duān）會話有助（zhù）於（yú）防止黑客獲得係統邏輯訪問。SSH是優先的邏輯訪問方法，但如果無法避（bì）免Telnet，不妨使用終端訪問控製，以限製隻（zhī）能訪問可（kě）信主機。因此，用戶（hù）需要（yào）給（gěi）Telnet在路由器上使用的虛擬終端端口添（tiān）加一（yī）份訪問列表。

　　路由器故（gù）障維護：封鎖ICMP ping請求

　　控製消息協議(ICMP)有助於排除故障，識別正（zhèng）在使用的主機，這樣為攻（gōng）擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的（de）信息。因此通過取消遠程用戶接收ping請求的應答能力，就能更容易的避開那些無人注意的掃描活動（dòng）或者防禦那些尋找容易攻擊的目標的“腳本小（xiǎo）子”(script kiddies)。

　　路由器故障維（wéi）護：關（guān）閉IP源路由

　　IP協議允許一台主機指定數據（jù）包通過你的網絡路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法應用（yòng）是診斷連接（jiē）故障。但是，這種（zhǒng）用途很少得到應用，事實上，它最常見的用途是為了偵察目的（de）對網絡進行鏡像，或者用於攻擊者在專用網絡中尋找一個後門。除非指定這項功能隻能用於診斷故障，否則應該關閉（bì）這（zhè）個功能。

　　路由器故障維護：監控（kòng）配置更改

　　用（yòng）戶在對（duì）路由器配置（zhì）進行（háng）改動之（zhī）後，需要對其進行（háng）監控。如果用戶使（shǐ）用SNMP，那麽一定要選擇功能強大的共用字符串，最好是使用提供消息加（jiā）密功能的SNMP。如果不通過SNMP管（guǎn）理對設備進行遠程配置，用戶最好將SNMP設（shè）備配置成隻讀。拒絕對這些設備進行（háng）寫訪問，用戶就能防止黑客改動或關閉接口。 此外，用戶還需將係統日誌消息從路由器發（fā）送至指定服務（wù）器。

　　進一步確保安全管理，用戶可以使用SSH等（děng）加密機製，利用SSH與路由器建立（lì）加密（mì）的遠（yuǎn）程會話。為了（le）加強（qiáng）保護，用戶還應該限製（zhì）SSH會話協商，隻允許會話用於用戶經常（cháng）使用的（de）幾個可信（xìn）係統進行（háng）通信。

　　路由器故障維護：地址過濾

　　在校園網邊界（jiè）路由器上建（jiàn）立政策以便根據IP地（dì）址過濾進出網絡的（de）違反安全規定的行為。除了特殊的案例之外，所有試圖從網絡內（nèi）部訪問互聯（lián）網的（de）IP地址都應（yīng）該有一個分配的局域網地址。例如，192.168.0.1通過這個路由器訪問（wèn）互聯網也許是合法（fǎ）的（de）。但是，216.239.55.99這個地址很可（kě）能是欺騙性的，並且是一場攻擊的一部分。相反（fǎn），來自互聯網外部的通信的源地址應（yīng）該不是內部（bù）網絡的一部分。因（yīn）此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。最後，擁有（yǒu）源地址的、保留的和無法路由目標地（dì）址（zhǐ）的所有通信（xìn）都應該（gāi）允許通過這台路由器（qì）。這包括回送地址127.0.0.1或者E類地址段。

　　在組建校（xiào）園網的時候，隻有選擇合適的路由器，經過正（zhèng）確配置和采用對應（yīng）的（de）維護策略後，才能使校（xiào）園網網絡流暢，安全可靠，充分發（fā）揮校園網在學校管理、獲取信息資源等方麵的作用。

　　路（lù）由器故（gù）障維護：路由器工作（zuò）原（yuán）理

　　路由器是用來（lái）連接不（bú）同網段或網絡的，其方法是通過識別不同網絡的網絡（luò）ID號進行。路由器要識別另一個網絡，首先要識別對方（fāng）的網絡ID，看是不（bú）是與目的節點地址中的網絡ID號相一致。如果（guǒ）是就向這個網絡的路由（yóu）器發送，接收網絡的路由器在接收到源網（wǎng）絡發來的（de）報文後（hòu），根據報文中所包括的目的（de）節點IP地址中的主機ID號來識別是發給哪一個節點的，然後再直（zhí）接發送。