基于路由器的网络技术

基于路由器的网络技术（共11篇）

基于路由器的网络技术 篇1

当前基于IP协议的计算机网络用户数量剧增，网络流量每6个月翻一番，比计算机CPU速度每18个月提高一倍快得多。为了使网络状况更加适应用户的需要，作为网络核心器件的路由器的不断升级换代也就成为大势所趋。下面笔者就从路由器的基本概念和分类入手，对基于路由器的网络技术进行一个较为全面的介绍。

一、路由器的基本概念

1977年，国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI), OSI参考模型采用分层结构技术，将整个网络的通信功能分为职责分明的七层，由高到低分别是：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成，即应用层、传输层、网络层、数据链路层、物理层。只有对等层才能相互通讯，一方在某层上的协议是什么，对方在同一层次上也必须采用同一协议。路由器就工作在TCP/IP模型的第三层(网络层)，主要作用是为收到的报文寻找正确的路径，并把它们转发出去。

二、路由器的基本构成部分

1. 两个或两个以上的接口(用于连接不同的网络)。

2. 协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。

3. 至少支持两种以上的子网协议(异种网)。

4. 一组路由协议。

三、路由器的基本功能

1. 存储、转发、寻径功能。

2. 路由功能。包括数据包的路径决策、负载平衡、多媒体传输(多播)等。

3. 智能化网络服务。包括QOS、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。

四、路由器的分类

按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。

1. 高端路由器。

位于WAN骨干网的中心或骨干位置，构成IP网络的核心。

2. 中端路由器。

适合于有分支机构的中小型企业，一般位于路由中心位置上，互连企业网的各个分支机构，并作为企业网的出口，上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说，中端路由器是其网络的中心。

3. 低端路由器。

主要针对派出机构，接口少，处理能力要求不高等场合。

4. 专用路由器。

如VPN路由器、加密路由器、语音路由器，通过特殊的附加(软)硬件实现特定功能。

五、主要技术分析

IPv6是IP的一种新的版本，它同目前广泛使用的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3×109个增加到4.3×1038个。经由IPv6，路由数可以减少一个数量级。

IPv6所以能使互联网连接许多东西变得简单而且使用容易，是因为它使用了以下技术。

1. 地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。

IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向。

2. 提高路由器吞吐量的技术。

路由器的吞吐量是指路由器单位时间内能够转发的报文数，通常用PPS (Packet Per Second)表示。以一个典型的企业网为例，一个派驻机构的上行速率有2000PPS就够了，分支的核心路由设备必须具有几万PPS的吞吐能力，而公司总部的路由中心则可能需要几十万甚至上百万PPS的处理能力。

目前主要有下面的提高路由器吞吐量的技术：改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/A-SIC)转发等。交换式路由器(Switch Router)就是利用这些技术的结晶。

3. 可编程ASIC技术。

ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大，ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求，出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU，通过改写微码，使其具有处理不同协议的能力。

4. VPN技术。

VPN (Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN，像企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。

“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴，企业内部资源享用者只需连入本地ISP的POP (Point of Presence，接入服务提供点)即可相互通信;而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以。

常见的VPN分为三种类型：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet，以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

5.QOS (Quality Of Service）。

QOS是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛，话音、电子商务、远程教育等。传统的数据网对业务是不区分的，当网上数据流量比较大时话音质量将急剧下降，某些重要的公司业务流也将受到影响。QOS就是要区别对待这些业务，提高网络的服务质量。

QOS包含的流分类是将接入的用户数据按业务进行分类，赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制，使之符合QOS协定;流量工程则是从全网管理的高度保障QOS。

6. MPLS (Multi Protocol Label Switch）———多协议标记交换。

IP的发展存在着一个非常明显的障碍，这是由IP本身固有的一个缺陷决定的，IP是一个无连接的协议，因此IP网上的应用无法得到很好的QOS保证。由于缺乏连接性，每一个IP包都是单独地发到目的地的，网络中的各个节点都无从知晓这些无连接的包中的某一个是如何到来的。与此相比，面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点和干线可以先为其预留资源，以提供QOS保证。IP具有其它网络协议所无法比拟的灵活性，这一点通过Interne已经得到了证明，而面向连接的协议可以保证QOS，因此这两种协议的结合是非常有意义的，这就导致了MPLS的产生。

MPLS将IP的灵活性和帧中继、ATM等面向连接网络的QOS保证特性有效地结合在了一起，这对于IP的进一步广泛应用无疑有着巨大的推动作用。

7. 多播技术。

多播(Multicast)主要用于视频会议等应用场合，这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址，即从224.0.0.0到239.255.255.255的多播地址。每个多播地址代表一个多播组，而不是一台主机。IGMP (Interne组管理协议)用于控制用户加入或离开多播组，多播路由协议则用于建立多播路由表，或称多播树。

如果一个局域网中有一个用户通过IGMP宣布加入某多播组，则局域网中的多播路由器就将该信息通过多播路由协议进行传播，最终将该局域网作为一个分枝加入多播树。当局域网中的所有用户退出该多播组后相关的分枝就从多播树中删掉。

多播路由协议有下列几种。DVMRP：距离向量多播路由协议;MOSPF：多播OSPF;CBT：基于核的树;PIM：协议无关的多播。

多播网中可能有不支持多播的路由器，此时多播路由器使用“IP over IP”的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器先将单播IP头剥掉，然后继续进行多播传输。

8. 网管系统。

网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多，与路由器产品相关的网管协议主要有SNMP、RMON等，其中SNMP最常见。SNMP采用代理(Agent)工作方式，设备侧(路由器上)运行Agent，网管站运行管理软件。代理的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等)，回答网管站对这些信息的查询;传达网管站的设置命令，如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

以上对目前基于路由器的网络技术进行了介绍。上网用户越来越多，宽带网建设如火如荼，对路由器技术更新的要求会越来越强烈。我们相信，通过业界同仁的不懈努力，未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

摘要：本文首先介绍了路由器的基本概念和分类方法。在此基础上, 重点对IPv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QOS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的技术进行了全面的分析, 对这些技术的发展作了高度的概括和总结。

关键词：路由器,基本概念,分类,网络技术

参考文献

[1]张公忠.现代网络技术教程[M].电子工业出版社, 2000.1.

[2]宋文官, 蔡京玖.计算机网络基础[M].中国铁道出版社, 2007.

[3]赵慧玲及ITU-T SG13中国代表团.新一代IP网络标准的发展[J].中国通信, 2001.

基于路由器的网络技术 篇2

关键词：无线传感器网络；分簇式路由协议；LEACH；路由安全

路由协议属于通信协议簇的底层协议，决定通信流量在网络上的分布，并极大地影响了网络的生存时间。所以，无线传感器网络的可用性和安全性会被资源受限和各种网络攻击所直接影响。尤其是路由协议的攻击，是很容易导致整个无线传感器网络的瘫痪。无线传感器网络的安全研究目前还十分有限，现有的Ad hoc网络的安全机制被借用到许多无线传感器网络的安全中，但是，大多数无线传感器网络环境是没办法直接使用Ad hoc网络的安全协议的。所以，在无线传感器网络的所有安全问题中，至关重要的环节和关键技术就是路由的安全[1]-[2]。

1 无线传感器网络路由协议常见攻击类型

（1）欺骗、改变或重放路由信息攻击：攻击锁定节点间交换的路由信息，通过篡改、伪造或重放路由信息来进行攻击。

（2）选择性转发攻击：恶意节点在收到数据包时，部分转发或根本不转发收到的数据包，导致数据包不能顺利到达目的地。

（3）女巫攻击：女巫攻击（Sybil）的方式是，恶意节点冒充多个节点，它可以声称自己具有多个身份，甚至可以随意产生多个虚假身份，从而利用这些身份来非法获取信息并实施攻击。

（4）陷洞攻击：在陷洞攻击（Sinkhole）中，攻击者的目标是通过已被攻击者控制的被俘获节点，或者吸引特定区域的几乎所有的数据流通过一个己经受到入侵的节点，产生以该节点为中心的一个Sinkhole。

（5）虫洞攻击：虫洞攻击（Wormhole）通常需要两个恶意节点相互串通，合谋进行攻击。一个恶意节点位于基站附近，而另一个恶意节点距离基站较远。较远的恶意节点广播自己和基站附近的节点可以建立高带宽、低延时的链路，从而吸引周围节点向其发送数据包，从而截断向基站的路由。

（6）HELLO泛洪攻击：恶意节点通过大功率的广播路由或其他信息，使网络中的其他节点认为恶意节点为自己的邻节点，从而将信息发送给恶意节点。

2 基于分簇式LEACH协议的分析

2.1 LEACH协议运行机制

LEACH（Low Energy Adaptive Clustering Hierarchy）协议[3]，全称低功耗自适应聚类路由协议，是最早提出的一个自组织、分布式的分簇路由协议，其后的许多分簇路由都是在它的基础上发展而来的。LEACH协议采用了“轮”的概念，每一轮都由初始化和稳定数据传输两个阶段组成。在初始化阶段，网络将重新选择簇头节点，网络节点遵循成簇算法选出簇头节点，前提是此簇头节点没有担任过簇头，被选出的簇头节点向周围成员节点广播自己成为簇头的信息，其他成员节点遵循耗能最小的原则加入临近的簇头节点，然后簇头节点为簇内成员节点分配通信时隙。在稳定的数据传输阶段，节点收集数据并传输至簇头节点，簇头节点对所受到的数据进行融合处理后发送到sink节点。数据传输持续一定时间后，网络进入下一轮的工作周期。

2.2 LEACH协议容易遭受的攻击

由于LEACH协议采用了单跳的路径选择方式，即所有的传感器节点都有可能和汇聚节点进行直接的通信，所以对Sinkhole攻击、Wormhole攻击、Sybil攻击以及虚假路由信息攻击都有防御能力。但由于在簇形成阶段，成员节点根据簇头节点的信号强弱来选择所要加入的簇，因此，恶意节点可以采用HELLO Flood攻击以大发射功率向全网络广播消息，从而吸引大量成员节点加入该簇，而后恶意节点可以通过选择则性转发、更改数据包等方式，来达到攻击目的。经过以上分析研究表明，LEACH协议最容易收到的攻击就是HELLO Flood攻击[4]。

3 一种适用于LEACH协议的安全解决方案

通过对HELLO Flood攻击方式的了解，提出了LEACH-H协议，并采用了以下安全解决方案：依靠一个可信任的节点利用链路的双向认证和节点的身份验证为每个簇头候选节点向基站和自身的一跳邻居节点证实它的邻居，从而成功对抗HELLO Flood攻击[5]。具体运行机制为：在广播阶段，候选簇头节点向基站和自身的一跳邻居节点发送数据，此数据包含候选簇头节点与基站的共享密钥，基站根据解密密钥来确认候选簇头节点是否正常，若不正常则丢弃数据包；建簇阶段，节点将自己将加入哪个簇的信息发送给基站，基站根据传感器节点和簇首候选节点产生密钥并发给节点，并进行解密匹配，解密成功则接受此候选簇头节点，否则自动丢包。节点从若干接受的候选簇头节点中，选择信号最强的候选簇头节点加入其簇[6]。

4 基于NS2仿真平台的仿真与分析

4.1 仿真结果

本文使用NS2仿真平台对改进协议在如下环境中进行仿真研究[7]。仿真环境参数如表1所示。

图1为设置了10个攻击节点时，LEACH-H协议与LEACH协议的节点存活情况比较。横坐标为时间，纵坐标为节点存活数量。由图中可以看出，随着时间的延长，LEACH-H协议的节点存活情况明显优于LEACH协议。由此可以看出，LEACH-H协议有效的解决了LEACH协议在防止网络攻击方面的缺陷。

4.2 性能分析

能耗方面：在成簇阶段采用了密钥验证策略，通过添加链路的双向验证和节点身份验证会造成一定的能耗开销，这是不可避免的。安全方面：在两个节点间进行链路的双向认证，通过检验链路的双向性，可以有效的抵御恶意节点的恶意广播，同时可以向基站揭发恶意节点；在两个节点间进行身份验证，当接收方收到含有正确密钥的消息认证码时，接收方可以确定其必定来自正确的发送方，从而成功对抗攻击。

5 结束语

LEACH协议是基于分簇的典型路由协议，本文通过分析LEACH协议所容易遭受的攻击，建议性的提出了融入安全机制的改进协议LEACH-H协议。经过仿真分析表明，改进后的LEACH-H协议可以有效抵御HELLO Flood攻击。

参考文献

[1] 任新辉，等.无线传感器网络的通信安全[EB/OL].http：//mntrc.nuc.edu. cn/editor/UploadFile/2005101715343966.pdf. 2006，2-2.

[2] 郎为民，等.无线传感器网络安全研究[J].计算机科学，32（5），2005：54-58.

[3] Anderson R and Huhn M. Low cost attack on tamper resistant devices[C]. IWSP： International workshop on security protocols，LNCS，1997：125-136.

[4] Hartung C. Node compromise in sensor networks： the need for secure systems[R]. Technical report CU-CS-988-04，University of Colorado at Boulder，2004.

[5] C.Karlof and D.Wagner.Secure routing in wireless sensor networks：attacks and counter measures[C].In：First IEEE Intl.Workshop on Sensor Network Protocols and Applications（SNPA 2003）. Anchorage，AK，USA：IEEE computer Society，2003，113-127.

[6] 孙利民等. 无线传感器网络[M]. 清华大学出版社，2005.

[7] Zhu Sencun. LEAP： efficient security mechanisms for large-scale distributed sensor networks[C]. In the proceedings of the 10th ACM conference on computer and communications security，Oct.，2003：62-72.

作者简介

侯媛元（1986-），女，黑龙江省大庆市，广西大学，在读硕士研究生，研究方向为网络化控制与信息工程。

基于路由器的网络技术 篇3

1 路由器的基本概念和分类

1977年,国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI),OSI参考模型采用分层结构技术,将整个网络的通信功能分为职责分明的七层,由高到低分别是:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成即:应用层、传输层、网络层、数据链路层+物理层。只有对等层才能相互通讯。路由器就工作在TCP/IP模型的第三层(网络层),主要作用是为收到的报文寻找正确的路径,并把它们转发出去。路由器的基本构成部分:1)两个或两个以上的接口(用于连接不同的网络)。2)协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。3)至少支持两种以上的子网协议(异种网)。4)一组路由协议。

路由器的基本功能:1)存储、转发、寻径功能。2)路由功能。包括数据包的路径决策、负载平衡、多媒体传输(多播)等。3)智能化网络服务。包括Qo S、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。

按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。1)高端路由器位于WAN骨干网的中心或骨干位置,构成IP网络的核心。2)中端路由器适合于有分支机构的中小型企业,一般位于路由中心位置上,互连企业网的各个分支机构,并作为企业网的出口,上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说,中端路由器是其网络的中心。3)低端路由器主要针对派出机构,接口少,处理能力要求不高等场合。

2 主要技术分析

1)IPv6技术。IPv6是IP的一种新的版本,它同目前广泛使用的的IPv4相比,地址由32位扩充到128位。从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。经由IPv6,路由数可以减少一个数量级。IPv6所以能使互联网连接许多东西变得简单而且使用容易是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向。

2)提高路由器吞吐量的技术。路由器的吞吐量是指路由器单位时间内能够转发的报文数,通常用pps(Packet Per Second)表示。以一个典型的企业网为例,一个派驻机构的上行速率有2000pps就够了,分支的核心路由设备必需具有几万pps的吞吐能力,而公司总部的路由中心则可能需要几十万甚至上百万pps的处理能力。目前主要有下面的提高路由器吞吐量的技术:改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/ASIC)转发等。交换式路由器(Switch Router)就是利用这些技术的结晶。

3)可编程ASIC技术。ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大,ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求,出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU,通过改写微码,使其具有处理不同协议的能力。

4)VPN技术。VPN(Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴,企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点)即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。

5)Qo S(Quality of Service)。Qo S是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛,话音、电子商务、远程教育等。传统的数据网对业务是不区分的,当网上数据流量比较大时话音质量将急剧下降,某些重要的公司业务流也将受到影响。Qo S就是要区别对待这些业务,提高网络的服务质量。Qo S包含的流分类是将接入的用户数据按业务进行分类,赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制,使之符合Qo S协定;流量工程则是从全网管理的高度保障Qo S。

6)MPLS(Multi Protocol Label Switch)———多协议标记交换。IP的发展存在着一个非常明显的障碍,这是由IP本身固有的一个缺陷决定的,IP是一个无连接的协议,因此IP网上的应用无法得到很好的Qo S保证。由于缺乏连接性,每一个IP包都是单独地发到目的地的,网络中的各个节点都无从知晓这些无连接的包中的某一个是如何到来的。与此相比,面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点以及干线可以先为其预留资源,以提供Qo S保证。IP具有其他网络协议所无法比拟的灵活性,这一点通过Internet已经得到了证明,而面向连接的协议可以保证Qo S,因此这两种协议的结合是非常有意义的,这就导致了MPLS的产生。MPLS将IP的灵活性和帧中继、ATM等面向连接网络的Qo S保证特性有效地结合在了一起,这对于IP的进一步广泛应用无疑有着巨大的推动作用。

7)多播技术。多播(Multicast)主要用于视频会议等应用场合,这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址,即从224.0.0.0到239.255.255.255的多播地址。每个多播地址代表一个多播组,而不是一台主机。IGMP(Internet组管理协议)用于控制用户加入或离开多播组,多播路由协议则用于建立多播路由表,或称多播树。如果一个局域网中有一个用户通过IGMP宣布加入某多播组,则局域网中的多播路由器就将该信息通过多播路由协议进行传播,最终将该局域网作为一个分枝加入多播树。当局域网中的所有用户退出该多播组后相关的分枝就从多播树中删掉。多播路由协议有下列几种。DVMRP:距离向量多播路由协议;MOSPF:多播OSPF;CBT:基于核的树;PIM:协议无关的多播。多播网中可能有不支持多播的路由器,此时多播路由器使用"IP over IP"的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器再将单播IP头剥掉,然后继续进行多播传输。

8)网管系统。网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多,与路由器产品相关的网管协议主要有SNMP、RMON等,其中SNMP最常见。SNMP采用代理(Agent)工作方式,设备侧(路由器上)运行Agent,网管站运行管理软件。代理的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等),回答网管站对这些信息的查询;传达网管站的设置命令,如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

3 结束语

以上对目前最新的基于路由器的网络技术进行了介绍。相信随着上网用户的越来越多,随着宽带网建设的如火如荼,对路由器技术更新的要求会越来越强烈。通过业界同仁的不懈努力,未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

摘要：该文首先介绍了路由器的基本概念和分类方法。在此基础上,重点对Ipv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QoS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的新技术进行了全面的分析,对这些技术的发展作了高度的概括和总结。

关键词：路由器,网络,网络技术

参考文献

[1]张公忠.现代网络技术教程[M].北京:电子工业出版社,2000.

路由器和网络层之间的关系 篇4

路由器的主要用途是连接多个网络，并将数据包转发到自身的网络或其它网络，由于路由器的主要转发决定是根据第 3 层 IP 数据包(即根据目的 IP 地址)做出的，因此路由器被视为第 3 层设备。作出决定的过程称为路由。

路由器在收到数据包时会检查其目的 IP 地址。如果目的 IP 地址不属于路由器直连的任何网络，则路由器会将该数据包转发到另一路由器，

路由器工作在第 1、第 2 和第 3 层

路由器在第 3 层做出主要转发决定，但正如我们前面所见，它也参与第 1 和第 2 层的过程。路由器检查完数据包的 IP 地址，并通过查询路由表做出转发决定后，它可以将该数据包从相应接口朝着其目的地转发出去。

论家用智能路由器的技术要素 篇5

关键词 家用智能路由器 技术要素 需求和实现

中图分类号：TN915.05 文献标识码：A

0引言

随着小米智能路由器的推出，这个“不坏就想不起来他”的家用电器成为了目前较为新潮的家用电器。智能路由器的地位提升，最主要的原因是家用电脑的逐渐淘汰，以往家用电脑提升的大容量存储、持续下载、资源管理等家庭局域网功能，需要由一个新的，更适应这一需求的硬件进行实现。智能路由器应运而生。

1需求分析

1.1 网关功能

首先，家庭局域网规模虽小，但网关要求复杂，基本的家用中心路由器，应该具备将高速以太网或者吉比特以太网转化为WIFI网络以及高速以太网和吉比特以太网的自身交换功能。而事实上，智能路由器要求连接更多的网段，比如家庭的视频监控系统，家庭的综合探头系统，家庭的互动电视系统等，同时要求ADSL或者光纤网络的直接接入。

1.2 安全功能

家用路由器应该带有基本的防火墙功能，防火墙功能应该是可以通过互联网直接获取最新规则的可配置防火墙。这个防火墙可以不使用硬件实现，但是应该编写专用的应用进行管理。同时，因为智能路由器采用的是安卓的开源操作系统，应该有专门的应用对操作系统进行保护。

1.3 存储功能

智能路由器如果要替代家用电脑的功能，首先应该能够满足大部分家用电器（摄像头、DV、相机、手机等）的数据存储和下载影片的存储。所以其存储容量应该是可扩展的，至少应该在1TB以上。

1.4应用扩展

基于安卓操作系统的家用智能路由器，应该支持安卓应用的擴展，保证其功能和固件可以得到最大程度的升级。

2功能实现

2.1主机选型

因为家用智能路由器的终端零售价不应该超过1500元，而其硬件成本不应该超过500元，所以，我们应该选用目前相对普及的ARM系列SCM作为其主机。而综合考虑大容量存储和高速数据桥接传输的需求，应该选用较为高端的ARM设备。综合分析下，基于A7架构的Cubieboard2 双核A20升级版可以基本满足系统需求。改板拥有1GB的RAM，双核处理器，以及较大容量的辅存管理能力。

2.2 接口设计

（1）电源接口

需提供5VAC2A稳定可靠的电源输入。

（2）WAN

提供一个WAN口，同步提供光纤SC接口和10/100/1000Mbps自适应RJ45口的镜像。

（3）LAN

提供一组4个10/100/1000Mbps自适应的RJ45接口作为LAN口。提供一个300MWIFI模块作为LAN口。

2.3 UI设计

传统家用路由器是一个被动设备，其本身使用的UI界面较少，基于LAN口WEB的IIS系统，可以几乎完善的完成其主要的交互和配置功能。但是，智能路由器是一个主动设备，我们需要对其进行较为复杂的操作以适应日常生活对于网络功能的需要，这就使得智能路由器的UI设计格外重要。

鉴于安卓系统本身的部分UI功能，我们通过合理开发联动应用的方式，可以较容易的实现智能路由器与电视机、手机、平板等家用互联网终端设备的UI交互。路由器UI界面的主要作用是使得家庭智能家居系统的相关数据可以与这些UI设备进行可靠的连接。

概括来说，智能路由器的交互方式主要有两种：

（1）基于LAN口通讯（含WIFI）的应用

基于LAN口通讯的应用的主要作用是实现智能路由器的通讯功能和存储功能，以及基于这些功能及其核心处理能力实现的下载、暂存、共享等功能。另外，家用照片打印机、电子相框等软件也可以实现与智能路由器相关软件的交互。同时，我们可以在平板电脑、智能手机、智能电视等产品上通过一定的应用对智能路由器进行相关的配置，这些配置与传统路由器的WEB配置类似。

（2）基于3G/4G网络的应用

另外，因为智能路由器是介入互联网的，我们可以使用手机等移动设备的3G/4G功能对其实现配置和远程操作。这些操作比如启动空调、启动储水式热水器、查看流量、启动下载以及对各种智能家电的控制。同时，远程查看家庭摄像头、冰箱探头、病人护理探头、婴儿探头的相关数据的功能，也是在智能路由器UI系统中较为实用的功能。

2.4 AP扩展及4G桥接

因为目前大城市高层建筑群中的城市家居往往具有两个特点：

（1）房间较小，墙体结构复杂，WIFI功率需求较高。

（2）移动通讯信号发射功率无法满足高密度通讯需要，移动通讯信号较弱，容易断线。

所以，智能家用路由器应该保证宽带接入的同时，应该有较强的基于AP桥接技术的自扩展和自适应技术。同时也应该根据其热点功能与移动通讯业务的信号进行互助加强，使得房间内的4G信号可以得到放大后供给区域内使用。这些功能都可以在智能家用路由器的固件基础上通过应用扩展的方式来实现。

3结束语

随着家庭移动设备和家庭智能化设备的逐渐普及以及SCM在家庭智能家居系统中的应用逐渐成熟，智能路由器设备会在市场上表现越来越活跃。通过智能路由器产品，智能家居的各种产品可以形成一个有机的整体，这是推进智能家居发展的必由之路。

参考文献

[1] 王媛.家用智能路由器功能实现[D].中国电子科技大学硕士论文，2012.

[2] 刘清源.论智能家居技术的通讯系统革新[J].现代电子科技，2014（3）：55-56.

[3] 王西洋.安卓系统在智能路由器中的二次开发[D].山东大学硕士论文，2013.

基于路由器的网络安全 篇6

1 理解网络安全

为了深入的理解网络安全, 不得不涉及安全包括的5个基本要素:保密性、完整性、可用性、可控性和可审查性。

1.1 攻击行为对网络安全的影响

由于任何网络, 包括公网和私有网, 都可能存在安全威胁。目前网络安全的影响主要表现在:

对网络资源的非授权访问。表现形式:假冒, 身份攻击, 非法用户进入网络系统进行违法操作, 合法用户以未授权方式进行操作等。

信息泄漏或丢失:指私有数据在有意或无意中被泄漏出去或丢失。

破坏数据完整性:以非法手段取得对数据的控制使用权, 删除、修改、插入或重发某些重要信息, 修改数据, 干扰用户的正常使用。

干扰正常网络功能:它不断对网络服务系统进行干扰, 改变其正常的作业流程, 极大地影响正常用户的使用。

利用网络传播病毒:通过网络传播计算机病毒, 导致用户数据和计算机系统遭受致命破坏。

1.2 网络的安全策略

网络安全策略定义了一个机构对于如何使用计算机和网络设施, 以提供更好的服务和更高的生产力, 同时也规定防范和对应安全威胁的措施。在开始规划网络安全之前, 应该先制定网络安全策略。没有正确的安全策略, 很难建立起功能完善、可操作性强的安全网络。

1.2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限, 防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

1.2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和非法访问, 它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。但访问控制可以说是保证网络安全最重要的核心策略之一, 主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测及锁定控制、网络端口及节点的安全控制、防火墙控制。

1.2.3 网络安全管理策略

在网络安全中, 除了采用上述技术措施之外, 加强网络的安全管理, 制定有关规章制度, 对于确保网络的安全、可靠地运行, 将起到极其重大的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围, 制订有关网络操作使用规程和人员出入机房管理制度, 制定网络系统的维护制度和应急措施等。

2 访问控制安全机制及有关模型

访问控制, 作为提供信息安全保障的主要手段及最为突出的安全机制, 被广泛地应用于路由器、防火墙、文件访问、VPN (虚拟专用网) 及物理安全等多个方面。

访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体和访问客体的访问权限。访问包括读取数据、更改数据、运行程序、发起连接等, 从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表用户的程序能做什么操作及能够做到什么程度。

访问控制的两个重要过程:

1) 通过“鉴别” (authentication) 来检验主体的合法身份;

2) 通过“授权” (authorization) 来限制用户对资源的访问级别。

根据实现的基本理念不同, 访问控制可分为以下两种:强制访问控制 (MAC:mandatory access control) 和自主访问控制 (DAC:discretionaryaccess control) 。

2.1 访问控制应用类型

根据应用环境的不同, 访问控制主要有以下3种:

1) 网络访问控制:限制用户可以建立什么样的连接以及通过网络传输什么样的数据, 例如网络防火墙。

2) 主机操作系统访问控制:操作系统借助访问控制机制来限制对文件及系统设备的访问, 例如Windows操作系统。

3) 应用程序访问控制:嵌入应用程序中, 以提供更细粒度的数据访问控制, 例如Oracle数据库。

2.2 访问控制模型

根据访问控制的相关理论, 目前比较成熟的访问控制模型包括BLP (Bell-La Padula) 安全模型、Lattice安全模型、Biba完整性模型、Chinese Wall模型。

BLP保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型。该模型基于强制访问控制系统, 以数据的敏感度来划分资源的安全级别。BLP模型允许用户读取安全级别比他低的资源;相反地, 写入对象的安全级别只能高于用户级别。

Lattice模型通过划分安全边界对BLP模型进行了扩充, 它将用户和资源进行分类, 并允许它们之间交换信息。安全的焦点是在不同的安全集束间控制信息的流动, 对不同安全集束中的客体也进行安全等级划分, 而不仅是垂直检验其敏感级别。

Biba模型基于两种规则来保障数据的完整性和保密性, 强调的是资源的完整性。

下读 (NRU) 属性, 主体不能读取安全级别低于它的数据。

上写 (NWD) 属性, 主体不能写入安全级别高于它的数据。

因此, 只有用户的安全级别高于资源的安全级别时可对资源进行写操作;相反地, 只有用户的安全级别低于资源的安全级别时可读取该资源。

Chinese Wall模型是应用在多边安全系统中的安全模型, 应用在可能存在冲突的组织中。基础是客户访问的信息不会与目前他们可支配的信息产生冲突。

3 用访问控制列表构建安全体系

一种流行的方法是在网络边缘上部署防火墙, 将来自攻击者的端口扫描和恶意数据流阻挡在企业网络的大门之外。尽管边缘防火墙是实现网络安全的不可缺少的工具, 但是它们对于阻止来自网络内部的攻击却无能为力。对于用户来说, 仅仅在网络边缘部署防火墙, 一次故障或一次错误的配置就可能危及整个网络。

为了化解这些风险, 根据访问控制模型理论, 网络需要实施分层次的安全战略, 即所谓的“纵深防御”, 将网络分为不同密级的网段。而目前实现不同网段间网络安全的一种有效途径是在网络中的路由器上使用访问控制列表 (ACL) 。ACL通过对网络资源进行访问输入和输出控制, 确保网络设备不被非法访问或被用作攻击跳板。使用适当的ACL可以帮助用户有效减少安全风险。

由于路由器是一种多端口设备, 它按照协议和网络信息负责不同网段间数据包的转发。在网络层, 当路由器遇到一个IP包时, 它便检查IP包中的目的IP地址, 并与路由选择表中的项目进行比较。如果匹配, 路由器则依照路由选择表中的指示转发IP包;如果不匹配, 并且没有缺省的路由选择, IP包便被过滤掉。在传输层, 路由器利用TCP (传输控制协议) 报头中的源端口号、目的端口号和TCP标志 (如SYN和ACK标志) 进行包过滤。路由器可以阻塞广播信息和不知名地址的传输, 达到保护内部网络安全的目的。本文以Cisco路由器的IOSV12.0为标准。

3.1 访问控制列表的作用

访问控制列表是应用在路由器接口的指令列表, 这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。在路由器的接口上配置访问控制列表后, 可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。当我们要想阻止来自某一网络的所有通信流量, 或者允许来自某一特定网络的所有通信流量, 或者想要拒绝某一协议的所有通信流量时, 可以使用访问控制列表来实现这一目标。

3.2 访问控制列表实现方法

首先在全局配置模式下定义访问列表, 然后将其应用到接口中, 使通过该接口的数据包需要进行相应的匹配, 然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理, 它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配, 则继续检测列表中的下一个语句。在执行到访问列表的最后, 还没有与其相匹配的语句, 数据包将被隐含的“拒绝”语句所拒绝。

3.3 通配符掩码

通配符掩码是一个32 bit的数字字符串, 它被用点号分成4个8 bit组, 每组包含8 bit。在通配符掩码位中, “0”表示“检查相应的位”, “1”表示“不检查相应的位”。通配符掩码与IP地址是成对出现的。

IP子网掩码与通配符掩码工作原理是不同的。在IP子网掩码中, 数字1和0用来决定是网络、子网, 还是相应的主机的IP地址。如表示192.168.0.0这个网段, 使用通配符掩码应为0.0.255.255。在通配符掩码中, 可以用255.255.255.255表示所有IP地址, 因为全为1说明所有32位都不检查相应的位, 这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配, 这样只表示一个IP地址, 可以用host表示。所以在访问控制列表中, 可以选择其中一种表示方法来说明网络、子网或主机。

4 路由器访问控制列表配置实例

例1:禁止HTTP (超文本传输协议) 服务。

router (config) #no ip http server

如果启用了HTTP服务, 则需要对其进行安全配置:设置用户名和密码, 采用访问列表进行控制。

例2:IP欺骗的简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址 (127.0.0.0/8) , RFC1918私有地址, DHCP (动态主机设置协议) 自定义地址 (169.254.0.0/16) , 科学文档作者测试用地址 (192.0.2.0/24) , 不用的组播地址 (224.0.0.0/4) , Sun公司的古老的测试地址 (20.20.20.0/24;204.152.64.0/23) , 全网络地址 (0.0.0.0/8) 。

例3:采用访问列表控制流出内部网络的地址必须是属于内部网络的。

基于路由器的网络技术 篇7

伴随着科学技术的发展,信息化建设已经成为推动社会发展的强大动力。在新的世纪,信息技术的竞争将是全球竞争焦点,而信息技术的竞争,主要取决于信息网络的建设水平,尤其是路由器技术作为网络的核心技术之一,将发挥越来越重要的作用。它是局域网与局域网、局域网和广域网之间的通信要塞,是实现网络互连的核心设备。

1 网络处理器的工作原理

为了增强网络处理器的处理能力,缓解链路带宽,且兼顾处理需要的编程性与灵活性,网络处理器本身要具有以下几个方面的功能(1)具备网络分组并行处理的能力。(2)具有高效处理速度,可以实现分组的实时处理。(3)具有一定数量的专用网络协处理器。(4)具备高度可编程性以及可扩展性。(5)能够快速投向市场,尽量减小再开发周期。

总体来说,网络处理器采用的是以下几个硬件网络处理方法:

1)流水线与并行处理技术

网络处理器内部通常是多内核(multi-core)结构。此种内核通常可分两种:一是具备一般水平运算和存储能力的单元Pes(processin elements);另一种则是能够实现特定处理能力的性能模块Fus(function units),如CRC校验等等。现有商业网络处理器当中,以上两种单元通常采用流水线与并行处理这两种机制,当中流水线机制是每个内核被设计为具备特定功能的模块,此类模块以流水线的方式组织起来完成分组处理任务。

2)完善的内存管理与DMA单元

在普遍的多处理器系统当中,内存操作通常是系统开销的大瓶颈。而普通的网络处理器要对分组进行复制和存储等处理,要执行很大量存储操作。

2 网络处理器的体系结构

网络处理器将软件的灵活可定制性同硬件的性能有机的结合到一起,从而使系统设计者能够将主要精力集中在功能的开发上,模块化的设计有效的延长了产品的生命周期,避免了重复性的二次开发。网络处理器实现的典型功能包括:

1)分帧和组帧(SAR)

帧的分解、处理、然后转发而重装。

2)协议识别和分类

帧基于标识信息而被识别,例如协议类型,端口号,目的URL或其他应用或者特定协议信息等。

3)排队和存取控制

一旦帧被识别后,它们被置于适当的队列中以便实现进一步处理,譬如优先处理、流量整形。另外,根据安全存取政策规则对帧进行逐项核对,以便判断它们是否应该转发或丢弃。

4)流量工程

一些协议或应用需要被整形,以保证能达到所要求的延迟或者延时变化的要求,正如流量被释放到电缆或光纤中一样。同时根据其他要求指定不同的通道间流量的优先权,以及消息类型。

5)服务质量Qo S

为了Qo S而适当地进行流量整形,帧可能需要被加上标签,以便在整个网络的范围内实现后继快速处理。

3 安全路由器的系统设计

3.1 路由器安全结构

路由器安全系统主要有四部分:管理/日志服务器、CA认证服务器、路由器的主体及用户终端。其中CA系统主要有CA认证服务器、客户端软件及支撑PKI的服务系统。PKI开发应符合PKIS标准,其中,CA中心有通用中心的一切功能。管理/日志服务器通过专用管理的接口与SR连接,功能主要有:审计、管理界面以及警报机制。管理界面提供了基于GUT风格个远程与本地管理,提供对于路由器集中管理及访问列表的控制,有防火墙配置与监控。

3.2 安全路由器软件结构

安全路由器的主要功能都体现在安全路由器主体(SR)的软件设计上,其中主要包括两个方面的功能:分组的转发和安全的处理。因为路由协议及第3层分组的通用性,在这里不再做详细的介绍,这里重点介绍了路由器安全处理内容中的设计及特点。根据IXP1200处理器的主要特点及软件的设计要求,整个网络系统运用模块化进行划分,这样实现了各模块的独立性,以有助于维护和扩展和。整个设计分为三层:控制平面、数据平面和通信子层。

设计分为三层:控制平面、数据平面和通信子层。

3.3 安全路由器硬件结构

为实现共享并行多处理器交换式体系结构,解决单处理器共享总线式体系结构、多处理器共享总线体系结构、多处理器交换式体系结构存在的问题,安全路由器基于网络处理器来进行设计,具体的硬件体系结构图如下所示:

3.4 重要功能及特点介绍

1)基于PKI的授机认证(用户管理):基于用户名和用户密码的认证系统很容易遭受密码截获、重放和暴力猜测等攻击,安全性能比较差。公开密钥体系和数字签名技术能提供良好的私有性、完整性和抗否认性安全服务,在安全路由器中,若使用公开密钥加密的身份认证,可在用户登录时确保高强度的安全性。

2)基于列表的包过滤(防火墙处理):安全路由器包过滤的功能是对指定IP包进行包过滤,并且按照设定策略对IP包进行统计和日志记录,主要根据IP包的如下信息进行过滤:源IP地址、目的IP地址、协议类型、TCP/UDP端口、ICMP报文类型域和代码域、碎片包以及其它标志位,如SYN、ACK位。

3)强大的IDS功能(策略处理):根据建立的攻击模式库侦察攻击行为,同时记录攻击行为的属性、特征和来源,提供统计分析;使用相应的各种防御措施,中断当前攻击行为,并按照配置的行为作出实时响应,维护系统和数据安全;同时结合带宽管理彻底的防止DDOS的攻击。

4 功能测试

对安全路由器的功能测试主要包括以下三个方面:路由转发功能测试、包过滤功能测试、加解密功能测试。

测试用的网络拓扑结构有两种。一种是单路由器网络,用于测试路由转发功能和包过滤功能,注意路由器不要开启IPSec功能;另一种是双路由网络,用于测试路由器的加解密通信功能,注意两个路由器的IPSec功能开启状态必须相同。测试结果表明,本研究实现了路由器内嵌式的加密功能,支持IPSec,摆脱了路由器外挂加密的传统路由器安全解决方案,保密性好,成本低,效率高。

5 结语

安全路由器基于网络处理器实现,使系统与硬件紧密结合,充分利用网络处理器处理分组快速高效的特点,大大突破了软件防火墙在速度方面的限制。对安全路由器功能的升级也只需要软件升级而不需要开发硬件设备,使用户对安全路由器功能的升级以及网络的维护大大简化。

摘要：随着信息技术和计算机网络的飞速发展,路由器的功能已经从简单的发送向提供灵活的集成服务和区分服务发展,这些都对路由器的硬件、软件体系结构提出了更高的要求。

关键词：安全路由器,网络处理器,系统设计

参考文献

[1]李福林.基于网络处理器的安全路由器设计与实现[D].中国人民解放军信息工程大学,2005.

[2]万玮.基于网络处理器开发环境编译器研究及实现[D].西北工业大学,2006.

[3]徐颖.基于网络处理器IXP2400的千兆防火墙设计与实现[D].清华大学,2005.

基于路由器的网络技术 篇8

随着注塑CAE技术的不断发展, 模流分析已可成功地应用在注塑模具的设计过程中。在制品的形状、尺寸确定的情况下, 浇注系统的设计是其模具设计的关键技术之一。浇注系统的形式直接决定模具结构的复杂程度与成本;浇注系统截面大小与长度直接影响到熔体在流道中的压力损失;浇口位置与数量直接影响到熔体在型腔中的流动方式, 并最终影响到制件的质量。通过对不同的浇注系统方案进行模流分析, 比较其充填状况、熔接痕位置、注射压力、锁模力等, 从而实现方案的优选。

1 制件的3D造型与网格划分

1.1 制件建模

零件的基本尺寸为长430 mm、宽81 mm、高28 mm。为便于Moldflow进行网格划分, 将模型以igs面格式输出。如图1所示。

1.2 网格划分、诊断和修复

将制件的igs面格式3D模型导入Moldflow MPI6.1中, 采用双面 (Fusion) 网格类型进行网格划分, 经网格诊断、自动修复、手动修复后的网格如图2所示, 单元数3 785个, 节点数1 869个。

1.3 浇口位置分析与方案拟定

对塑件进行最佳浇口位置分析, 结果如图3所示, 其中深色区域表示较好的浇口位置, 位于制件的中部。

该制件的分型面在壳体开口边缘。考虑到制件为条形, 为有效利用模具材料, 提高产品的生产率并保证制件的成型精度, 该制件的成型模具宜采用一模两腔、型腔长度方向平行的型腔布局。若按最佳浇口位置分析结果来设置浇口, 则该制件要采用点浇口或潜伏浇口形式。采用点浇口则模具结构为三板模, 增加了模具成本, 且产品外观也受到影响, 对该制件而言这是不允许的。采用潜伏浇口则使模具结构更为复杂且加工成型过程中易出故障[1]。为此, 综合考虑制品分型面位置、型腔布局、制品外观要求、模具结构的简易可靠及最佳浇口位置, 采用侧浇口进胶, 浇口位置在制品长度方向的中间, 靠近分析出来的制件最佳浇口位置。考虑制件为条状, 长度方向尺寸较大, 在此还以最佳浇口位置为中心设置两个侧浇口进胶, 以供方案比较和选择。

2 方案的比较与分析

2.1 条件设置

制件要求一定的强度和硬度, 因此材料选用Lanxess ABS 1146。为便于比较, 两个方案的工艺条件均采用材料推荐的模温80℃, 料温260℃;充填方式采用流率控制, 流率设置为200 cm3/s;速度/压力切换设置为100%的充填体积。将上述两种流道系统分别进行充填分析, 通过观察比较充填时间、充填结束时刻的压力分布、熔接痕分布、气穴分布、最大注射压力和锁模力、壁面剪切力等来对方案进行优选。

2.2 结果比较分析

2.2.1 充填时间

从充填时间结果不仅可以了解充填结束时间、充填是否完全, 还能了解熔体流动的方式。单浇口方案与双浇口方案的充填时间见图4。由图4可见, 两种方案均能充填完全, 充填时间均在1.45 s左右, 双浇口方案的两浇口间料流约在0.59 s相遇。

2.2.2 充填结束时刻的压力分布

充填结束时刻的压力会影响到成型时制件内部的残余应力, 压力越大, 残余应力越大;若压力分布不均, 差异越大则残余应力分布越不均, 引起的翘曲变形也越大。所以要求充填结束时的型腔压力分布要尽可能均匀, 压力差越小越好。

单浇口方案与双浇口方案充填结束时刻的压力分布分别如图5和图6所示。由图5、图6可见, 充填结束时单浇口方案的型腔压力差约为85 MPa, 双浇口方案的型腔压力差约为63 MPa, 可见双浇口方案的型腔压力比单浇口方案的型腔压力分布更为均匀些。

2.2.3 熔接痕

注塑时, 当两股或多股料流相遇时会形成熔接痕, 熔接痕对制件的机械力学性能、外观会有一定的影响。当熔体前沿相遇时, 若熔体流动前沿温度较高、后续施加的压力较大, 则熔接痕对质量的不良影响会很小[2]。

分析结果表明:两种方案在矩形孔、小圆孔的料流方向后端均会存在熔接痕, 这是制件结构特征所决定的, 但两种方案的流前温度均在260℃左右, 偏离熔体注入温度 (260℃) 很小。在双浇口方案中, 两浇口间还存在一较长的熔接痕, 由于其流前温度很高, 且由前充填时间结果可知其形成时间约在0.59 s时, 后续充填的继续会导致此处存在较大压力, 因此该处熔接痕的熔接强度得到保证, 对制件质量的不良影响很小。

2.2.4 最大注射压力与锁模力

制件成型时所选择的注塑机必须满足成型要求的最大注射压力与锁模力。最大注射压力与锁模力越大, 能量消耗越多, 对注塑机的规格要求也越高。

单浇口方案与双浇口方案的注射压力变化轨迹分别如图7 (a) 、 (b) 所示。整个过程设置为恒流时率注射, 因此两方案的注射压力最大值均出现在充填结束时刻。单浇口方案的最大注射压力约为114 MPa, 双浇口方案的最大注射压力约为106 MPa, 略低于单浇口方案。

单浇口方案与双浇口方案的锁模力变化轨迹分别如图8 (a) 、 (b) 所示。因整个过程设置为恒流率注射, 因此两方案的锁模力最大值也均出现在充填结束时刻。单浇口方案的最大锁模力约为3 442 kN, 双浇口方案的最大锁模力约为2 586 kN, 比单浇口方案有较大减低。

2.3 方案比较结论

通过上述比较分析可知, 采用双浇口方案比单浇口方案能具有更小的锁模力、壁面剪应力和注射压力, 虽然在两浇口间会产生熔接痕和气穴, 但影响不大或可采取措施消除。因此优选双浇口方案。

3 结论

本文通过模流分析技术进行了不同浇口设置方案的比较与优选, 后续还可结合模架的选择、模具具体设计来确定流道的长度与截面尺寸, 并可通过流道平衡分析来优化分流道的截面尺寸;通过保压分析和冷却分析来优化浇口的截面尺寸, 保证充分地保压补缩。由此得到较优的流道系统, 以提高产品的品质。

摘要：针对某路由器面板, 通过最佳浇口位置分析后, 综合考虑确定了单侧浇口和双侧浇口两种方案。通过分析比较其充填时间、充填结束时刻的压力分布、熔接痕分布、最大注射压力和锁模力后优选双侧浇口方案。由此表明借助模流分析技术可在模具设计中实现浇口位置与数量方案的优选, 辅助设计者提高设计质量。

关键词：模流分析,浇口位置,优化,路由器面板

参考文献

[1]陈世煌, 陈可娟.塑料注射成型模具设计[M].北京:国防工业出版社, 2007.

基于路由交换技术的放疗网络改造 篇9

对于我国绝大多数有放疗科的医院而言, 十几年前, 医院网络和放疗网络各自独立建成, 互不融合[2]。但随着医院、放疗科的发展以及放疗技术的不断进步, 放疗网络规模日益膨胀扩大, 要求整个放疗网络能够稳定、安全、高效地运行并将原有结构层次单一、设备可靠性差的网络整合到医院大网络, 使得科、院网络无缝对接, 全面实现设备、信息的网络化管理, 保障在出现网络故障的时候, 能够高效、快速、准确进行诊断及处理[3,4]。

1 网络现状与存在的问题

1.1 放疗网络现状

早期放疗中心网络和医院大网络各自独立, 在需要科、院网络互通时, 常用的解决方案见图1, 依靠一台装有双网卡的Linux防火墙实现[5,6]。

1.2 存在的问题

问题一 (放疗网络内部) :早期的放疗网络只需要将放疗相关设备联系在一起, 结构单一, 因此所有设备同处一个网段。以湖南省肿瘤医院为例, 放疗网络的网段为192.168.1.0/24。这种网络结构在遭受环路故障时, 会导致全网性能急剧下降甚至网络瘫痪;另外当网络遭遇ARP攻击时, 也会导致整个网络性能的下降, 甚至是断网, 对安全放疗造成恶劣影响。更重要的是这样的网络架构不利于网络管理的智能化。

问题二 (放疗网络与医院网络之间) :科室、屋院网络互通时常用的解决方案存在一定的问题。随着医院、放疗科的发展, 科室、医院网络数据流量大增, Linux防火墙会造成信息拥堵或者信息传递丢失, 成为整个科、院网络互通的瓶颈。我们认为如果要构建一个安全的网络体系结构, 仅仅从软件上去实现是远远不够的, 还需要以硬件为基础去实施。因此我们提出基于路由交换技术的放疗网络改造方案, 这能从根本上解决科室、医院网络互通的问题。

2 利用三层路由交换技术解决联网问题

三层网络结构是采用层次化架构的三层网络, 包括核心层、汇聚层和接入层。对于规模较小的网络, 可根据实际情况对网络层次进行简化, 如采用核心层和汇聚层合并, 或汇聚层和接入层合并的层次结构。我们在现有的网络资源基础上利用三层交换技术解决了局域网中网段划分问题, 而后网段中子网必须依赖路由器进行管理, 这解决了传统路由器低速、复杂所造成的网络瓶颈问题, 满足了科室的要求, 具体设计方案见图2。

三层交换技术是相对于传统交换概念而提出的。众所周知, 传统的交换技术是在OSI网络标准模型中的第二层——数据链路层进行操作的, 而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说, 三层交换技术就是:二层交换技术+三层转发技术。

虚拟局域网 (virtual local area network, VLAN) 是一种建构于局域网交换技术 (LAN Switch) 的网络管理的技术, 网管人员可以借此通过控制交换机有效分派出入局域网的分组到正确的出入端口, 达到对不同实体局域网中的设备进行逻辑分群 (Grouping) 管理的目的, 并降低在局域网内大量数据流通时, 因无用分组过多导致拥塞问题, 同时也提升了局域网的信息安全保障。

考虑到放疗网络对稳定性、安全性能要求高的特点, 为了在医院大网络出现故障的时不影响放疗网络的运行, 我们采用了在配置VLAN的基础上实施三层路由交换, 两层数据转发的方案。

2.1 网络改造的目标

(1) 对原有设备使用进行优化。 (2) 采用层次化的网络设计, 优化整个放疗网络。 (3) 通过配置可管理的交换机、网络服务器、工作站, 实现全网的集中、远程管理, 以方便网络的设置和网络故障的及时处理。 (4) 适当地更换原有的集线器、交换机, 同时改造网络中大量的网络接口转换设备, 提高网络运行的可靠性和可维护性。 (5) 医院大网络主干采用传统的千兆以太网技术。整体网络结构以星形结构为主, 核心层2台H3C 7500系列交换机, 互为冗余和负载均衡, 实现了设备和线路的双冗余, 大大提高了稳定性和可靠性。接入层H3C 5100系统以太网交换机, 通过双链路连接至核心交换机。

2.2 具体实现

放疗科网络VLAN规划 (Tomo自成一小局域网, 通过添加静态路由加入放疗网络) 见表1。

(1) 对放疗中心核心交换机进行配置:

(2) 对医院大网络之一的接入层H3C5100交换机 (物理位置在放疗中心) 进行配置:

(3) 医院核心交换机H3C 7510进行配置:

最后用Ping命令在交换机以及各个VLAN连接的PC上测试网络连通性。

3 结论

我们设计方案的最大亮点在于打破了传统医院网络的三层交换必须在核心的模式, 充分结合VLAN技术和三层交换机的ip route-static静态路由配置策略来完成各个局域网内数据的高速路由转发功能, 从而解决了医院大网络出现故障就会影响放疗网络正常运行的问题, 达到了以最小、最经济的改造获得最大获益的目的。

摘要：应用路由交换技术以及虚拟局域网 (VLAN) 的规划、划分等技术, 安全、稳定、高效性地改造放疗网络和医院网络, 使放疗网络融入医院大网络, 有效地解决放疗网络与医院网络之间资源共享问题。

关键词：放疗网络,路由交换,虚拟局域网

参考文献

[1]吴智理, 倪千禧, 张九堂.堆叠技术在放疗网络中的应用[J].中国医疗设备, 2014, 29 (8) :55-57.

[2]郑超, 高学全, 张建勋.基于Linux防火墙的局域网安全环境设计与实现[J].科学技术与工程, 2008, 8 (11) :2854-2857.

[3]吴丹, 徐玲, 吴建军.三层交换技术在大型医疗设备互联时的应用[J].中国医疗设备, 2010, 25 (7) :48-49.

[4]宋文功, 唐璇.基于Linux的防火墙技术研究[J].微计算机信息, 2006, 22 (4X) :37-39.

[5]刘建峰, 潘军, 李祥和.Linux防火墙内核中Netfilter和Iptables的分析[J].微计算机信息, 2006, 22 (3) :7-9.

网络安全从路由器开始 篇10

隐藏无线信号（SSID）

隐藏无线信号（SSID号）是让无线网络处于安全环境中最简单也最有效的方式，只要隐藏信号后，任何人都无法搜索到你的无线信号，想要连接，必须同时知道SSID号和密码。

首先，我们进入路由器设置界面，进入无线网络配置菜单后，在网络设置选项中我们可以得到无线网络的所有信息。这时我们需要做的是将SSID与网络密码正确记录下来，并将SSID广播设置为关闭（如图1），保存即可生效，完成这一操作后，我们所有连接在网络中的设备都会与网络断开。

现在我们就需要手动输入网络，让这些设备重新与网络连接。我们在手持智能设备上进入设置选项，在WLAN设置窗格中选择“添加网络”，输入SSID后（如图2），在安全性菜单中选择“WPA/WPA2 PSK”，最后再输入无线网络密码即可连接。在笔记本电脑上，我们连接屏蔽信号的无线网络操作同样简单，点击桌面右下角的网络连接图标，在弹出网络选择栏中点击最底部的其他网络，输入SSID号与密码即可连接网络。

开启MAC地址过滤

通过MAC地址过滤的安全性比屏蔽SSID信号还安全，但是它实施起来却要复杂许多。进入路由器设置界面，在无线网络设置中，点击下拉菜单，找到无线MAC地址过滤，点击启用无线MAC地址过滤。在过滤规则中选择允许，再在添加新条目中输入你设备的MAC地址，保存即可。

如何查看自己手机或电脑的MAC地址：

在手机上的操作最简单，在设置里的界面中进入WLAN设置，再点击手机菜单按键，选择屏幕下方的“高级”选择，在此我们可以查看到MAC地址（如图3）（或设置界面，进入关于手机，点击硬件信息，在此处也能查看到MAC地址，适用于Android系统的的手机或平板）。

在电脑端，我们可以通过命令提示符来查找我们的MAC地址。按下“WIN+R”组合按键，开启命令提示符，输入ipconfig/all命令获取完整的地址信息，其中“Physical Address（物理地址）”就是我们的MAC地址（如图4）。

只要你做到上述两点，相信我们的无线网络安全环境将会有明显的提升，直接斩断伸向你网络的黑手。

基于FPGA的路由技术研究 篇11

1 路由技术

英特网的体系结构是分层次的, 每个层次结构上都需要对应功能的路由器。接入网上的路由器主要负责的是将家庭用户和小型企业网连接到ISP, 它面临的主要问题是将使用不同的网络技术的PC接入Internet, 这就要求其提供高速的端口, 丰富的协议支持;而企业级的路由器则是连接整个企业或校园中的所有PC, 所以要求其必须易于配置, 能提供高密度的端口, 支持Qo S等功能;骨干网上的路由器是不需要直连用户端系统的, 它们连接的是ISP和企业级网, 需要能提供高速路由功能。所以, 路由技术对于整个网络是至关重要的。

1.1 路由器简介

路由器的逻辑体系结构主要由路由引擎, 转发引擎, 路由表, 网络适配器和相关的逻辑电路等几部分组成。转发引擎中最关键的就是IP协议, 控制对路由表的查找, 负责把数据包从一个网络适配器转发到另一个网络适配器。而路由表的查找效率是整个路由器的性能的关键因素, 因为每个通过路由器的数据包都需要首先对路由表进行查找然后决定如何进行转发。路由引擎不涉及通过路由器的数据通路, 只负责对路由表更新, 包括了高层协议, 特别是路由协议, 所有往往用通用的CPU代替。

1.2 硬件路由表设计

路由表的实现方法主要有两大类:基于软件和基于硬件。但是基于软件的查找次数至少为5次, 这距离高速链路的要求已经远远不够了;而基于硬件的方法中则有很多结构简单, 查找速度快, 其中最少的只需访问一次存储器, 最多只需要访问两次存储器。

通常路由器中路由表的表项都含有以下这些域:目的IP地址域, 距离向量度量域, 下一跳IP地址域, 路由变化标志域, 路由计时器域。如果每一个IP地址都对应一个表项, 那么就会占用很大的存储器空间, 但是其中有很多的表项必定没有被使用, 所以在设计路由查找算法时就需要根据如下的原则来设计:容易在硬件上实现, 并具有良好的性能和可扩展性;能有效的对存储器进行利用;能提供有效的最长前缀匹配, 并且实时的实现路由表的查找;能实现路由表的插入和删除并且支持广播和组播。

2 基于FPGA的路由技术

在传统的路由器设计中, ASIC设计占主导地位, 但随着硬件技术的不断发展, 新业务不断涌现, 为了能够快速地响应市场需求, 形成自己产品独特的特色和卖点, 基于FPGA实现的路由器成了一种很好的选择。

2.1 FPGA简介

现场可编程门阵列的简称叫FPGA, 是专用集成电路 (ASIC) 领域中的一种半定制电路, 是在PAL、GAL、CPLD等可编程器件的基础上发展得来的产物, 解决了定制电路的不足, 还克服了原有可编程器件门电路数有限的缺点, 具有较高的灵活性, 并且其设计周期短, 具有成本低、风险小等优势。越来越多的设计都开始从ASIC转向FPGA, 成为现代IC设计验证的主流技术。以硬件描述语言Verilog或VHDL设计完成的电路, 都可以通过简单的综合与布局, 快速烧写到FPGA上进行测试。

FPGA的主要特点如下:设计周期短, 能够快速成品, 可以反复修正使用, 风险小, 更便宜的造价, 开发费用低。FPGA采用高速CMOS工艺, 功耗低, 与TTL电平兼容, 其内部有丰富的触发器和I/O引脚;所以, FPGA芯片是开发路由器的最佳选择之一。

2.2 基于FPGA的路由技术

在路由器的设计过程中, 选择合适的FPGA来完成路由器中需要灵活处理的业务部分, 如路由表的查找, 能大大的降低开发风险, 有效地缩短开发周期, 提高性价比, 增强特色。而IP核的使用也使得FPGA的设计可以规模化、产业化[2]。随着FPGA的发展, 越来越多的厂商都开始采用FPGA来设计实现路由器。利用现今一些成熟的IP核, 如FIR滤波器、SDRAM控制器、PCI标准接口、HDLC控制器、以太网MAC控制器等, 将不同的IP核连接起来, 并有效地进行数据控制、管理, 就可以实现路由器功能设计。从系统安全的角度出发, 基于FLASH的技术硬件出错的概率较小, 具有更可靠的安全性, 还可以经过现场处理就能实现产品的升级换代, 支持通过公共网络实现远程升级等特性, 这样就减少了现场解决问题的麻烦和代价。

FPGA的一般设计流程是由电路设计与输入、功能仿真、综合、再仿真、布线和上板调试等步骤组成。具体流程如图1所示。

2.3 基于硬件的路由查找实现

报文在经过路由器的时候都要经过一系列的操作后才能被转发, 如查路由表, 包转发, 队列调度等操作, 这些通常是由硬件来实现的。要提高路由器的性能必须从优化报文转发路径入手, 而其中涉及的最重要的环节就是在转发表中进行路由查找, 当入端口接收到一个报文, 它需要根据报文的目的IP地址查找出端口。转发表中数据形式是<网络地址/掩码, 端口>。假设接收到报文的目的地址是address1, 理论上路由器需要对路由表中所有表项进行匹配查找:将掩码和address1进行与运算, 若结果和网络地址一致, 则将此端口加入到候选端口的集合中。最终选择的出端口是候选端口集合中掩码最长的一项, 称为最长前缀匹配[3]。

在硬件设计实现路由卡时, 主要需要设计实现状态机, 存储器, 译码器, 掩码器, 比较器, 地址寄存器等部分。根据所需查找的目的IP地址, 状态机用来控制路由表的查找, 路由表中存储的是所要查找的路由信息。主要的工作原理如下:当路由器从某一个网络适配器接收到一个需要转发的数据包后, 会对IP路由表进行查找, 这个过程也就是把IP数据包的目的IP地址送到IP地址寄存器中, 同时对状态机发一个指令, 状态机收到后, 会从存储器中读出路由表中对应的表项, 然后和IP地址寄存器中的相应几位经译码器, 掩码器后进行比较, 反馈比较后结果给状态机, 状态机接着控制下一轮的比较, 当所有的比较结束后, 转发引擎在路由信息寄存器中读取最终的结果, 并且状态机在某一特定的端口设置标志, 来告诉CPU查找的状态是否已经结束。

通常路由查找算法的速度依赖于这个算法为了找到路由表项需要访问内存的次数。假设一个路由算法需要访问5次内存, 访问内存的速度是70ns, 那么总共的查找时间就是350ns, 也就是说在1秒钟大约能完成300000次路由查找。优化路由查找性能的方法主要有三类:基于硬件的方法, 表紧缩技术和哈西表技术。文献[4][5]中提出了提高更新的速度的解决方案。

3 小结

针对网络流量的增加, 及对路由器性能要求的提高, 该文简单介绍了路由器和硬件路由表的设计, 并结合FPGA技术, 介绍了基于FPGA的路由技术, 从硬件的角度对IP路由查找的硬件实现做了简单的介绍和分析, 同时可以得出结论, 为了使路由表的查找速率更快, 基于ISA总线的实现已经远远不够了, 由于VHDL语言固有的灵活性和可编程性, 可以实现更为灵活和高效的路由查找, 因此使用芯片来实现路由查找技术, 是未来不可避免的趋势。

摘要：该文针对路由器的路由查找, 简单概述了路由技术的发展, 路由器的体系结构, 硬件路由表的数据结构设计等, 介绍了FPGA, 及基于FPGA的路由技术, 研究了如何用FPGA硬件实现高效的路由技术。

关键词：网络,路由器,FPGA,硬件,路由技术

参考文献

[1]RuizSanchez M A, Biersack E W, Dabbous W.Survey and taxonomy of IP address lookup algorit hms[J].IEEE Network, 2001, 15 (2) :8-23.

[2]汪超.以太网交换架构路由器中基于FPGA的E1接口设计[D].上海:上海交通大学, 2009.

[3]谭明锋, 龚正虎.基于AsIc实现的高速可扩展并行IP路由查找算法[J].电子学报, 2005, 33 (2) :209-213.

[4]Gupta P, Lin S, McKeown N.Routing Lookups in Hardware at Memory Access Speeds[C]//Guerin R.Proceedings of IEEE INFOCOM'98, San Francisco, CA:IEEE Computer Society Press, 1998:1240-1247.