路由器綜述
路由器是互聯網的主要節點設備。路由器通過路由決定數據的轉發。轉發策略稱為路由選擇(routing),這也是路由器名稱的由來(router,轉發者)。
路由器通常用於節點眾多的大型網絡環境,它處於ISO/OSI模型的網絡層。與交換機和網橋相比,在實現骨幹網的互聯方面,路由器、特別是高端路由器有著明顯的優勢。路由器高度的智能化,對各種路由協議、網絡協議和網絡接口的廣泛支持,還有其獨具的安全性和訪問控制等功能和特點是網橋和交換機等其他互聯設備所不具備的。路由器的中低端產品可以用於連接骨幹網設備和小規模端點的接入,高端產品可以用於骨幹網之間的互聯以及骨幹網與互聯網的連接。特別是對於骨幹網的互聯和骨幹網與互聯網的互聯互通,不但技術複雜,涉及通信協議、路由協議和眾多接口,信息傳輸速度要求高,而且對網絡安全性的要求也比其他場合高得多。因此採用高端路由器作為互聯設備,有著其他互聯設備不可比擬的優勢。
路由器的作用
路由器的一個作用是連通不同的網絡,另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路,能大大提高通信速度,減輕網絡系統通信負荷,節約網絡系統資源,提高網絡系統暢通率,從而讓網絡系統發揮出更大的效益來。
從過濾網絡流量的角度來看,路由器的作用與交換機和網橋非常相似。但是與工作在網絡物理層,從物理上劃分網段的交換機不同,路由器使用專門的軟件協議從邏輯上對整個網絡進行劃分。例如,一台支持IP協議的路由器可以把網絡劃分成多個子網段,只有指向特殊IP地址的網絡流量才可以通過路由器。對於每一個接收到的數據包,路由器都會重新計算其校驗值,並寫入新的物理地址。因此,使用路由器轉發和過濾數據的速度往往要比只查看數據包物理地址的交換機慢。但是,對於那些結構複雜的網絡,使用路由器可以提高網絡的整體效率。路由器的另外一個明顯優勢就是可以自動過濾網絡廣播。從總體上說,在網絡中添加路由器的整個安裝過程要比即插即用的交換機複雜很多。
路由器的類型及特點
互聯網各種級別的網絡中隨處都可見到路由器。接入網絡使得家庭和小型企業可以連接到某個互聯網服務提供商;企業網中的路由器連接一個校園或企業內成千上萬的計算機;骨幹網上的路由器終端系統通常是不能直接訪問的,它們連接長距離骨幹網上的ISP和企業網絡。互聯網的快速發展無論是對骨幹網、企業網還是接入網都帶來了不同的挑戰。骨幹網要求路由器能對少數鏈路進行高速路由轉發。企業級路由器不但要求端口數目多、價格低廉,而且要求配置起來簡單方便,並提供QoS。
1.接入路由器
接入路由器連接家庭或ISP內的小型企業客戶。接入路由器已經開始不只是提供SLIP或PPP連接,還支持諸如PPTP和IPSec等虛擬私有網絡協議。這些協議要能在每個端口上運行。諸如ADSL等技術將很快提高各家庭的可用帶寬,這將進一步增加接入路由器的負擔。由於這些趨勢,接入路由器將來會支持許多異構和高速端口,並在各個端口能夠運行多種協議,同時還要避開電話交換網。
2.企業級路由器
企業或校園級路由器連接許多終端系統,其主要目標是以盡量便宜的方法實現盡可能多的端點互連,並且進一步要求支持不同的服務質量。許多現有的企業網絡都是由Hub或網橋連接起來的以太網段。儘管這些設備價格便宜、易於安裝、無需配置,但是它們不支持服務等級。相反,有路由器參與的網絡能夠將機器分成多個碰撞域,並因此能夠控制一個網絡的大小。此外,路由器還支持一定的服務等級,至少允許分成多個優先級別。但是路由器的每端口造價要貴些,並且在能夠使用之前要進行大量的配置工作。因此,企業路由器的成敗就在於是否提供大量端口且每端口的造價很低,是否容易配置,是否支持QoS。另外還要求企業級路由器有效地支持廣播和組播。企業網絡還要處理歷史遺留的各種LAN技術,支持多種協議,包括IP、IPX和Vine。它們還要支持防火牆、包過濾以及大量的管理和安全策略以及VLAN。
3.骨幹級路由器
骨幹級路由器實現企業級網絡的互聯。對它的要求是速度和可靠性,而代價則處於次要地位。硬件可靠性可以採用電話交換網中使用的技術,如熱備份、雙電源、雙數據通路等來獲得。這些技術對所有骨幹路由器而言差不多是標準的。骨幹IP路由器的主要性能瓶頸是在轉發表中查找某個路由所耗的時間。當收到一個包時,輸入端口在轉發表中查找該包的目的地址以確定其目的端口,當包越短或者當包要發往許多目的端口時,勢必增加路由查找的代價。因此,將一些常訪問的目的端口放到緩存中能夠提高路由查找的效率。不管是輸入緩衝還是輸出緩衝路由器,都存在路由查找的瓶頸問題。除了性能瓶頸問題,路由器的穩定性也是一個常被忽視的問題。
4.太比特路由器
在未來核心互聯網使用的三種主要技術中,光纖和DWDM都已經是很成熟的並且是現成的。如果沒有與現有的光纖技術和DWDM技術提供的原始帶寬對應的路由器,新的網絡基礎設施將無法從根本上得到性能的改善,因此開發高性能的骨幹交換/路由器(太比特路由器)已經成為一項迫切的要求。太比特路由器技術現在還主要處於開發實驗階段。
路由器技術
路由器的體系結構
從體系結構上看,路由器可以分為第一代單總線單CPU結構路由器、第二代單總線主從CPU結構路由器、第三代單總線對稱式多CPU結構路由器;第四代多總線多CPU結構路由器、第五代共享內存式結構路由器、第六代交叉開關體系結構路由器和基於機群系統的路由器等多類。
路由器的構成
路由器具有四個要素:輸入端口、輸出端口、交換開關和路由處理器。
輸入端口是物理鏈路和輸入包的進口處。端口通常由線卡提供,一塊線卡一般支持4、8或16個端口,一個輸入端口具有許多功能。第一個功能是進行數據鏈路層的封裝和解封裝。第二個功能是在轉發表中查找輸入包目的地址從而決定目的端口(稱為路由查找),路由查找可以使用一般的硬件來實現,或者通過在每塊線卡上嵌入一個微處理器來完成。第三,為了提供QoS(服務質量),端口要對收到的包分成幾個預定義的服務級別。第四,端口可能需要運行諸如SLIP(串行線網際協議)和PPP(點對點協議)這樣的數據鏈路級協議或者諸如PPTP(點對點隧道協議)這樣的網絡級協議。一旦路由查找完成,必須用交換開關將包送到其輸出端口。如果路由器是輸入端加隊列的,則有幾個輸入端共享同一個交換開關。這樣輸入端口的最後一項功能是參加對公共資源(如交換開關)的仲裁協議。
交換開關可以使用多種不同的技術來實現。迄今為止使用最多的交換開關技術是總線、交叉開關和共享存貯器。最簡單的開關使用一條總線來連接所有輸入和輸出端口,總線開關的缺點是其交換容量受限於總線的容量以及為共享總線仲裁所帶來的額外開銷。交叉開關通過開關提供多條數據通路,具有N×N個交叉點的交叉開關可以被認為具有2N條總線。如果一個交叉是閉合,輸入總線上的數據在輸出總線上可用,否則不可用。交叉點的閉合與打開由調度器來控制,因此,調度器限制了交換開關的速度。在共享存貯器路由器中,進來的包被存貯在共享存貯器中,所交換的僅是包的指針,這提高了交換容量,但是,開關的速度受限於存貯器的存取速度。儘管存貯器容量每18個月能夠翻一番,但存貯器的存取時間每年僅降低5%,這是共享存貯器交換開關的一個固有限制。
輸出端口在包被發送到輸出鏈路之前對包存貯,可以實現複雜的調度算法以支持優先級等要求。與輸入端口一樣,輸出端口同樣要能支持數據鏈路層的封裝和解封裝,以及許多較高級協議。
路由處理器計算轉發表實現路由協議,並運行對路由器進行配置和管理的軟件。同時,它還處理那些目的地址不在線卡轉發表中的包。
VPN
VPN(Virtual Private Network-虛擬專用網)解決方案是路由器具有的重要功能之一。其解決方案大致如下:
1.訪問控制
一般分為PAP(口令認證協議)和CHAP(高級口令認證協議)兩種協議。 PAP要求登錄者向目標路由器提供用戶名和口令,與其訪問列表(Access List)中的信息相符才允許其登錄。它雖然提供了一定的安全保障,但用戶登錄信息在網上無加密傳遞,易被人竊取。 CHAP便應運而生,它把一隨機初始值與用戶原始登錄信息(用戶名和口令)經Hash算法翻譯後形成新的登錄信息。這樣在網上傳遞的用戶登錄信息對黑客來說是不透明的,且由於隨機初始值每次不同,用戶每次的最終登錄信息也會不同,即使某一次用戶登錄信息被竊取,黑客也不能重複使用。需要注意的是,由於各廠商採取各自不同的Hash算法,所以CHAP無互*作性可言。要建立VPN需要VPN兩端放置相同品牌路由器。
2.數據加密
在加密過程中加密位數是一個很重要的參數,它直接關係到解密的難易程度,其中Intel 9000系列路由器表現最為優異,為一百多位加密。
3.NAT(Network Address Translation-網絡地址轉換協議)
如同用戶登錄信息一樣,IP和MAC地址在網上無加密傳遞也很不安全。 NAT可把合法IP地址和MAC地址翻譯成非法IP地址和MAC地址在網上傳遞,到達目標路由器後反翻譯成合法IP與MAC地址,這一過程有點像CHAP,翻譯算法廠商各自有不同標準,不能實現互*作。
QoS
QoS(Quality of Service-服務質量)本來是ATM(Asynchronous Transmit Mode)中的專用術語,在IP上原來是不談QoS的,但利用IP傳VOD等多媒體信息的應用越來越多,IP作為一個打包的協議顯得有點力不從心:延遲長且不為定值,丟包造成信號不連續且失真大。為解決這些問題,廠商提供了若干解決方案:第一種方案是基於不同對象的優先級,某些設備(多為多媒體應用)發送的數據包可以後到先傳。第二種方案基於協議的優先級,用戶可定義哪種協議優先級高,可後到先傳,Intel和Cisco都支持。第三種方案是做鏈路整合MLPPP(Multi Link Point to Point Protocol),Cisco支持可通過將連接兩點的多條線路做帶寬匯聚,從而提高帶寬。第四種方案是做資源預留RSVP(Resource Reservation Protocol),它將一部分帶寬固定的分給多媒體信號,其它協議無論如何擁擠,也不得佔用這部分帶寬。這幾種解決方案都能有效的提高傳輸質量。
RIP、OSPF和BGP協議
互聯網上現在大量運行的路由協議有RIP(Routing Information Protocol-路由信息協議)、OSPF(Open Shortest Path First–開放式最短路優先)和BGP(Border Gateway Protocol—邊界網關協議)。 RIP、OSPF是內部網關協議,適用於單個ISP的統一路由協議的運行,由一個ISP運營的網絡稱為一個自治系統。 BGP是自治系統間的路由協議,是一種外部網關協議。
RIP是推出時間最長的路由協議,也是最簡單的路由協議。它主要傳遞路由信息(路由表)來廣播路由。每隔30秒,廣播一次路由表,維護相鄰路由器的關係,同時根據收到的路由表計算自己的路由表。 RIP運行簡單,適用於小型網絡,互聯網上還在部分使用著RIP。
OSPF協議是“開放式最短路優先”的縮寫。 “開放”是針對當時某些廠家的“私有”路由協議而言,而正是因為協議開放性,才使得OSPF具有強大的生命力和廣泛的用途。它通過傳遞鏈路狀態(連接信息)來得到網絡信息,維護一張網絡有向拓撲圖,利用最小生成樹算法得到路由表。 OSPF是一種相對複雜的路由協議。
總的來說,OSPF、RIP都是自治系統內部的路由協議,適合於單一的ISP(自治系統)使用。一般說來,整個互聯網並不適合跑單一的路由協議,因為各ISP有自己的利益,不願意提供自身網絡詳細的路由信息。為了保證各ISP利益,標準化組織製定了ISP間的路由協議BGP。
BGP處理各ISP之間的路由傳遞。其特點是有豐富的路由策略,這是RIP、OSPF等協議無法做到的,因為它們需要全局的信息計算路由表。 BGP通過ISP邊界的路由器加上一定的策略,選擇過濾路由,把RIP、OSPF、BGP等的路由發送到對方。全局範圍的、廣泛的互聯網是BGP處理多個ISP間的路由的實例。 BGP的出現,引起了互聯網的重大變革,它把多個ISP有機的連接起來,真正成為全球範圍內的網絡。帶來的副作用是互聯網的路由爆炸,現在互聯網的路由大概是60000條,這還是經過“聚合”後的數字。配置BGP需要對用戶需求、網絡現狀和BGP協議非常了解,還需要非常小心,BGP運行在相對核心的地位,一旦出錯,其造成的損失可能會很大!
IPv6技術
迅速發展中的互聯網將不再是僅僅連接計算機的網絡,它將發展成能同電話網、有線電視網類似的信息通信基礎設施。因此,正在使用的IP(互聯網協議)已經難以勝任,人們迫切希望下一代IP即IPv6的出現。
IPv6是IP的一種版本,在互聯網通信協議TCP/IP中,是OSI模型第3層(網絡層)的傳輸協議。它同目前廣泛使用的、1974年便提出的IPv4相比,地址由32位擴充到128位。從理論上說,地址的數量由原先的4.3×109個增加到4.3×1038個。之所以必須從現行的IPv4改用IPv6,主要有二個原因。
1.由於互聯網迅速發展,地址數量已經不夠用,這使得網絡管理花費的精力和費用令人難以承受。地址的枯竭是促使向擁有128位地址空間過渡的首要原因。
2.隨著主機數目的增加,決定數據傳輸路由的路由表在不斷加大。路由器的處理性能跟不上這種迅速增長。長此以往,互聯網連接將難以提供穩定的服務。經由IPv6,路由數可以減少一個數量級。
為了使互聯網連接許多東西變得簡單,而且使用容易,必須採用IPv6。 IPv6所以能做到這一點,是因為它使用了四種技術:地址空間的擴充、可使路由表減小的地址構造、自動設定地址以及提高安全保密性。
IPv6在路由技術上繼承了IPv4的有利方面,代表未來路由技術的發展方向,許多路由器廠商目前已經投入很大力量以生產支持IPv6的路由器。當然IPv6也有一些值得注意和效率不高的地方,IPv4/NAT和IPv6將會共存相當長的一段時間。
