｡◕‿◕｡Small Cho's Note-Book｡◕‿-｡

......

什是路由器
 

路由器是工作在OSI參考模型第三層網路層的數據包轉發設備。路由器通過轉發數據包來實現網路互連。雖然路由器可以支持多種協議（例如TCP/IP、IPX/SPX、AppleTalk等協議），但是在我國絕大多數路由器運行TCP/IP協議。　

路由器通常連接兩個或多個由IP子網或點到點協議標識的邏輯端口，至少擁有1個物理端口。路由器根據收到數據包中的網絡層地址以及路由器內部維護的路由表決定輸出端口以及下一跳地址，並且重寫鏈路層數據包頭實現轉發數據包。　

路由器通常動態維護路由表來反映當前的網路拓撲。路由器通過與網路上其他路由器交換路由和鏈路信息來維護路由表。　

路由器是連接IP網的核心設備。　
 

路由器的分類　

當前路由器分類方法各異。各種分類方法有一定的關聯，但是並不完全一致。　

從能力上分，路由器可分高端路由器和中低端路由器。各廠家劃分並不完全一致。通常將背板交換能力大40G的路由器稱為高端路由器，背板交換能力40G以下的路由器稱為中低端路由器。以市場佔有率最大的Cisco公司為例，12000系列為高端路由器，7500以下系列路由器為中低端路由器。　
 

從結構上分，路由器可分為模塊化結構與非模塊化結構。通常中高端路由器為模塊化結構，低端路由器為非模塊化結構。
　

從網路位置劃分，路由器可分為核心路由器與接入路由器。核心路由器位網路中心，通常是使用高端路由器。要求快速的包交換能力與高速的網絡接口，通常是模塊化結構。接入路由器位網路邊緣，通常使用中低端路由器。要求相對低速的端口以及較強的接入控制能力。　

從功能分，路由器可分為通用路由器與專用路由器。一般所說的路由器為通用路由器。專用路由器通常為實現某種特定功能對路由器接口、硬件等作專門優化。例如接入服務器用作接入撥號用戶，增強PSTN接口以及信令能力；VPN路由器增強閘道處理能力以及硬件加密；寬帶接入路由器強調寬帶接口數量及種類。　
 

從性能上分，路由器可分為線速路由器以及非線速路由器。通常線速路由器是高端路由器，能以媒體速率轉發數據包；中低端路由器是非線速路由器。但是一些新的寬帶接入路由器也有線速轉發能力。　
 

路由器分類方法還有很多，並且隨著路由器技術的發展，可能會出現越來越多的分類方法。　
 

路由器功能　
 

路由器通常實現下列基本功能：實現IP、TCP、UDP、ICMP等互聯網協議。　
連接到兩個或多個數據包交換的網路。對每個連接到的網路，實現該網路所要求的功能。

這些功能包括：　
IP數據包封裝到鏈路層幀或從鏈路層幀中取出IP數據包。　
按照該網路所支持的最大數據包大小發送或接收IP數據報。該大小是網路最大傳輸單元（MTU）。　
將IP地址與相應網路的鏈路層地址相互轉換。例如將IP地址轉換成以太網硬件地址。　
實現網路支持的流量控制和差錯指示。　
接收及轉發數據包，在收發過程中實現緩沖區管理、擁塞控制以及公平性處理。
出現差錯時辨認差錯並產生ICMP差錯及必要的差錯消息。　
丟棄生存時間（TTL）域為0的數據包。　
必要時將數據包分段。　
按照路由表信息，為每個IP數據包選擇下一跳目的地。　
支持至少一種內部閘道遶送協議（IGP）與其他同一自治域中路由器交換路由信息及可達性信息。支持外部閘道遶送協議（Exterior　Gateway　Protocol，EGP）與其他自治域交換拓撲信息。　
提供網絡管理和系統支持機制，包括存儲/上載配置、診斷、升級、狀態報告、異常情況報告及控制等。　
 
路由器技術　

路由器軟件　

路由器技術中最核心的技術是軟件技術。路由軟件是最復雜的軟件之一。有些路由軟件運行在UNIX操作系統上，有些路由軟件運行在嵌入式操作系統上，甚至有些軟件為提高效率，本身就是操作系統。全球最大的路由器生產廠家Cisco公司曾一度宣稱是一個軟件公司，可見路由器軟件在路由器技術中所佔的重要地位。　

路由器軟件一般實現路由協議功能、查表轉發功能和管理維護等其他功能。由互聯網規模龐大，運行在互聯網上路由器中的路由表非常巨大，可能包含幾十萬條路由。查表轉發工作可想而知非常繁重。在高端路由器中上述功能通常由ASIC芯片硬件實現。　

路由軟件的高復雜性另一方面體現在高可靠性、高可用性以及魯棒性。實現路由軟件的功能並不復雜，在免費共享軟件中我們甚至可以得到路由協議和數據轉發的實現源碼。但是難點在需要該軟件每年365天，每天24小時高效可靠地運行。　

在路由器研制過程中，可以通過購買商用源碼等形式迅速實現路由器。但是通常認為路由器軟件需要一年甚至兩年的時間來穩定。　

可編程ASIC　

ASIC芯片是專用集成電路，是當前路由器實現線速轉發數據的的核心技術。可編程ASIC將多項功能集中到一個芯片上，具有設計簡單、可靠性高、電源消耗少等優點，能使設備得到更高的性能和更低的成本。　

通過ASIC芯片的使用，還可以增加設備端口密度。使用ASIC芯片的端口密度是使用通用芯片時端口密度的數倍。　

可編程ASIC芯片的設計是當前高性能路由器實現的硬件保証。　
 

路由器接口　

路由器接口用作將路由器連接到網絡，可以分為局域網接口及廣域網接口兩種。局域網接口主要包括以太網(10M、100M和1000M以太網)、令牌環、令牌總線、FDDI等網絡接口。廣域網主要包括E1/T1、E3/T3、DS3、通用串行口（可轉換成X.21　DTE/DCE、V.35　DTE/DCE、RS232　DTE/DCE、RS449　DTE/DCE、EIA530　DTE）ATM接口、POS接口等網絡接口。　

當前路由器接口技術較成熟，難點在高密度接口板的設計與制作和高速接口（大/等2.5Gbps）的實現。　

路由協議　

路由器路由協議的實現是路由器軟件中重要組成部分。路由協議用作建立以及維護路由表。路由表用為每個IP包選擇輸出端口或下一跳地址。開放的路由協議主要包含RIP/RIPv2、OSPF、IS－IS和BGP4。　

RIP/RIPv2、OSPF和IS－IS作為域內路由協議，一般用在AS（自治系統）內部，用在AS內部計算以及交換網絡可達性消息。RIP/RIPv2是距離向量路由協議，一般用企業內部小規模網絡。OSPF和IS－IS協議原理和實現都類似，是鏈路狀態協議，一般用大規模企業網或運營商網路。　

BGP4協議基距離向量，是當前AS間路由協議的唯一選擇。通常BGP交換大量網絡可達性消息，是IP網上重要協議。　

路由協議的實現與路由器軟件要求相似，需要實現高可靠、高穩定、魯棒性以及安全性。

路由器性能　

路由器性能通常主要包含如下內容：　

背板能力：通常指路由器背板容量或者總線能力。　
吞吐量：指路由器包轉發能力。　
丟包率：指路由器在穩定的持續負荷下由資源缺少在應該轉發的數據包中不能轉發的數據包所佔比例。　
轉發時延：指需轉發的數據包最一比特進入路由器端口到該數據包第一比特出現在端口鏈路上的時間間隔。　
路由表容量：指路由器運行中可以容納的路由數量。　
可靠性：指路由器可用性、無故障工作時間和故障恢復時間等指標。　
 
路由器隊列管理機制　

由路由器是基分組交換的設備，在每個端口上帶寬統計復用，所以路由器必須在端口上維護一個或多個隊列，否則路由器無法處理多個數據包同時向同一端口轉發以及端口上QoS能力等問題。隊列管理算法的好壞直接影響路由器性能、QoS能力以及擁塞管理能力。通常隊列管理算法分為基時標算法、基輪轉算法以及基優先級隊列等。　

基時標的分組調度算法都有相同的形式，它們為每個分組維持兩個時標，一個命名為起始時標（start　time－stamp），一個命名為完成時標（finish　time－stamp）。路由器根據上述時標來決定下一轉發數據包。基時標的算法最常見的有WFQ、WF2Q等。　

另一類調度算法是基輪轉調度機制的，它們的工作原理與操作系統裡的多任務輪轉調度有類似之處。基輪轉的調度算法通常有WRR、DRR等。　

基優先級的隊列管理能根據預先規定或用戶指定的優先級，調度不同隊列的數據包轉發。　

路由器通常還在隊列中使用RED（隨即早期偵測）、WRED（加權隨即早期偵測）等機制來避免擁塞。　

MPLS技術　

作為一種高效的IP骨幹網技術平台，MPLS技術為下一代的IP網路提供了一種靈活的而且具有可擴展性的骨幹網交換技術基礎。使用MPLS技術，將可以大大提高網路的運行效率，可以實現對IP網上業務的QoS劃分，並且可以通過流量工程對網路的資源進行合理的分配，實現約束路由。借助這些能力，MPLS網路還將能夠提供高效的VPN業務、實時業務等。可以說，MPLS技術很有可能成為IP網路向下一代的電信級的IP網絡演進中的關鍵技術。所以MPLS技術也可能是路由器是否成為下一代IP網路的核心設備的關鍵。　

雖然MPLS擁有種種優點，但是在大網上還沒有廣泛應用。原因在協議不成熟，多廠商互通性存在問題，MPLS跨AS甚至跨Area存在問題，VC　Merge(VC合並)需要研究。然而在目前看來，MPLS是實現基網路VPN最理想的方案並且能夠實現流量工程。未來IP網的研究必須探討採用MPLS的可能性。路由器設備必須考慮實現MPLS。　

VPN技術　

VPN是指在公用網路上建立虛擬私有網。可以從不同的角度對VPN進行分類，按接入方式劃分。
專線VPN：為已經通過專線接入ISP邊緣路由器的用戶提供的VPN實現方案。　
撥號VPN（又稱VPDN)：指為利用撥號PSTN或ISDN接入　ISP的用戶提供的VPN業務。
　
按協定類型劃分　 
第二層閘道協議：點到點閘道協議（PPTP）、第二層轉發協議（L2F）、第二層閘道協議（L2TP）。　
第三層閘道協議：通用路由封裝協議（GRE）、IP安全（IPSec）。　
MPLS閘道協議可以看成在第二層和第三層之間。
　
按VPN的發起方式劃分　
客戶發起（也稱基客戶的）：VPN服務提供的起始點和終止點是面向客戶的，其內部技術構成、實施和管理對VPN客戶可見。　
服務器發起（也稱客戶透明方式或基網路的）：在公司中心部門和ISP處（稱為POP）安裝VPN軟件，客戶無須安裝任何特殊軟件。　
 
按目前運營商所開展的類型劃分　 
撥號VPN業務（VPDN）：就是第一種劃分方式中的VPDN。　
虛擬租用線（VLL）：是對傳統的租用線業務的仿真，以IP網路對租用線進行模擬，而這樣一條虛擬租用線兩端的用戶看來，該虛擬租用線等價過去的租用線。　

虛擬專用路由網（VPRN）業務：包括兩類，一是使用傳統的VPN協議，如　IPSec、GRE等實現的VPRN。另外一種是MPLS方式的VPN。　
 

路由器上的QoS　

路由器上的QoS可以通過下面幾種手段獲得：　

通過大帶寬得到。在路由器上除增加接口帶寬以外不作任何額外工作來保障QoS。
由數據通信沒有相應公認的數學模型作保障，該方法只能粗略地使用經驗值作估計。通常認為當帶寬利用率到達50％以就應當擴容，保証接口帶寬利用率小50％。　
通過端到端帶寬預留實現。該方法通過使用RSVP或者類似協議在全網范圍內通信的節點間端到端預留帶寬。該方法能保証QoS，但是代價太高，通常只在企業網或者私網上運行，在大網公網上無法實現。　
通過接入控制、擁塞控制和區分服務（DiffServ）等方式得到。該方式無法完全保証QoS。這能與增加接口帶寬等方式結合使用，在一定程度上提供相對的CoS。　
通過MPLS流量工程得到。
　
路由器安全性　

路由器的安全性分兩方面，一方面是路由器本身的安全，另一方面是數據的安全。　

由路由器是互聯網的核心，是網路互連的關鍵設備。所以路由器的安全要求比其他設備的安全性要求更高。主機的安全漏洞最多導致該主機無法訪問，路由器的安全漏洞可能導致整個網絡不可訪問。　

路由器的安全漏洞可能存在管理上原因和技術上原因。在管理上，對路由器口令糟糕的選擇、路由協議授權機制的不恰當使用、錯誤的路由配置都可能導致路由器工作出現問題。技術上路由器的安全漏洞可能有如下方面：　

惡意攻擊。如竊聽、流量分析、假冒、重發、拒絕服務、資源非授權訪問、幹擾、病毒等攻擊。　

軟件漏洞。門、操作系統漏洞、數據庫漏洞、TCP/IP協議漏洞、網絡服務等都可能會存在漏洞。　
 
路由器所傳遞數據的安全可以由網絡提供或者用戶提供。如果由網絡提供則只與接入路由器相關。通常可以由接入路由器提供IPSec安全通道來保證安全。