5 路由器 (Router)

一种专门处理封包传输的设备，透过处理路径位置来传输资料；主要工作在网路层
原理跟三层交换机大同小异，不同地方在於三层交换机主要用於高速区网之间的资料传输；而路由器主要处理多个网段之间的资料传输
因此路由器一般不会有多port(接口)，而是担任类似海关的角色：

大多家用实体路由器还会有闸道器负责处理不同协定(如:乙太网路,wifi…)，这里就不展开

• ARP表

只要是运行在TCP/IP协定的设备或路由器里都会有个ARP表，主要功能是透过每一次纪录封包(网路层)的传送资讯，如此一来被记录过的路径就可以快速把资料传送到特定目标；内容会是设备的IP跟MAC

• 有ARP资料
  现在路由器想传送封包的B设备，就会先往路由器的ARP表做查询，假如找到了B设备对应的IP跟MAC，就把资料传输到B设备
• 无ARP资料
  但假如在路由器的ARP找不到的话，ARP就会发送封包各个设备的ARP地址，如A设备的ARP有B设备对应的资讯，就把资料传输到B设备并更新路由器的ARP

TIPS:ARP表也被称为叫ARP快取，因为隔一段时间或资料达到上限时就会多余的资料

• 问题
  可能会遭遇ARP欺骗

ARP欺骗

现在A设备要传送封包给B设备，理当会透过路由器代为传送，结果现在被不知名的C设备在区网大量发送假的ARP请求，结果路由器回应了就把C设备(假的ARP资讯)写入自己的ARP表，误以为C设备的MAC地址为B设备的；造成了A设备传送的封包被C设备撷取
此攻击可能不限於区网，假如骇客从外网远端入侵区网任何一台设备，也可透过ARP将资料送回外部Server

• 防治

可透过路由器上的ARP列表进行绑定，这样路由器就会永久保留该设备的ARP
而多层交换机上也可透过DHCP snooping保留网段上设备的MAC位址，这样一旦伪造ARP发出时也可即时反查 (大部分路由器也有此功能

NAT 服务器

可以看成一种代理IP的服务器，NAT服务器会负责在Internet跟区网之间当沟通的桥梁
以下解释了如何工作：

假设现在区域网有192.168.0.34 , 192.168.0.35,192.168.0.155 ，真实外部IP为65.23.0.175

• 转送封包
  现在a电脑想发出Internet上的请求，NAT 服务器就会率先接收到此请求；再把192.168.0.34(a电脑)封包修改成65.23.0.175传送到Internet，并在NAT上记录这是由192.168.0.34(a电脑)发出的

• 接收封包
  而现在Internet收到请求後发送相应的回应到NAT 服务器，NAT 服务器就会知道知道此回应应由a电脑接收，进而将封包传给A电脑。

• 此机制好处

可隐藏真实电脑的设备(UUID,MAC…)、内部IP资讯，增加连网的安全性；并且NAT 服务器在回送封包同时，就已知目标电脑位置，如此一来也可以降低网路负载的压力。

总结

使用路由器并不能负担太多设备，多设备虽然不见得影响频宽，但延迟也会增加 (主要是网路层效率较低 -> 还要转译、纪录会有延迟)
但路由器在终端设备上担任十分重大的角色，可以达到防火墙,网段管理,封包过滤等