计算机网络路由器

计算机网络路由器（精选12篇）

计算机网络路由器 篇1

1 路由器概述和简单应用

网络技术的发展, 带来一个最大的功能就是全世界实现资源共享。本地网络的资源已经远远不能满足人们的需求。要实现各个网络的互联, 路由器设备已经成为关键的器材。没有路由器就不能成为真正的路由器。路由器的工作原理是根据数据的IP地址来进行分析, 根据路由器安装时网络管理人员设置的路由算法, 通过自身构造的路由表来为数据信息选择下一传送路径, 直至最终传送到目的地址。如果无法传送到目的地址, 则说明目的地址错误或者网络中的算法出现错误。工作方式是路由器在生产时制造了多个端口, 每个端口设置的IP地址要求对应子网的IP.这里需要了解32位IP地址的划分, 并了解如何根据主机地址来合理的进行子网的划分。相关IP具体内容篇幅有限在此不再赘述。在应用中, 路由器的工作是进行寻址操作, 在寻址操作完成后就把信息进行转发。寻址操作在原理中进行了简单介绍, 深入简出的说是用规定好的路由算法去寻址, 而路由算法要实现的是维护路由表, 路由表中记载了路由的不同地址信息, 从路由表的目的地址去判断下站地址, 多个路由表合作, 更新网络路由信息, 这样就能保证路径寻址操作畅通, 合理进行。

2 网络路由协议分析

路由器工作需要路由协议做保证, 伴随着路由器的大范围使用, 人们对路由协议如OSPF协议和RIP协议也已经相当了解。这里针对了解相对较少, 具有特色的无线网络路由协议进行分析。首先是Ad hoc网络路由协议, 这种无线网络中的协议主要有表驱动路由协议和预先式路由协议, 这里主要介绍前者表驱动路由协议应该不断地进行链路相关质量的检测, 更新网络拓扑信息和实际路由信息, 保证寻址的正确性。这种协议具备的优点是路由相关信息不会出现错误, 但是用表进行驱动需要对信息大量更新和获取, 耗费资源大, 不利于大范围应用, 容易形成路由寻址的延迟。其次是WMN宽带无线网络协议。它是在Ad hoc网络基础上发展而来的。大体上与前文介绍的路由相同, 但是也有不同的地方。WMN比较而言移动性不强, 通常为静态。而且节点能量强, 吞吐性高, 可以满足大范围数据传送, 可以用于宽带的无线网络连接。

3 路由器网络技术分析

路由器技术众多, 这里从功能角度介绍常见的几种。首先IPV6技术, 是从IPV4基础上发展而来, 是对IPV4的地址空间进行了相应的扩充, 在路由器方面可以自动设定路由器地址, 能够提高路由器的安全性。其次提高吞吐量的技术, 能够在单位时间内加大数据传送。常见的是Cache技术, 采用分布式的处理, 可以在网络架构的高层进行交换操作。第三中技术是编程技术, 实现了路由器产品在生产后仍然可以根据具体要求进行编程, 可以处理不同路由协议, 这种技术成为ASIC技术。第四种VPN网, 利用虚拟性, 简化了路由器的连入权限限制工作。第五种技术QoS包含的流分类是将接入的用户数据按业务进行分类, 赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制, 使之符合QoS协定;流量工程则是从全网管理的高度保障QoS。当然路由器相关技术还有很多, 如多播技术等等。

4 网络路由器安全性分析

网络攻击种类繁多, 针对路由器的漏洞进行攻击的行为也经常发生。为了保证路由器的安全, 应设置多方面防护措施。第一要保证硬件安全, 无论路由器性能和安全设置如何合理, 如果路由器在没有权限人员的手中, 那么就毫无安全性可言。第二要对口令进行设置, 口令设置要安全, 防止弱口令的出现。同时定期更换口令设置。第三要取消IP广播操作, 防止黑客用伪地址应答请求, 进行攻击。第四、关闭多余的服务, 在工作中不使用的服务, 要进行关闭, 降低攻击点。第五进行实时监控的设置, 把系统日志信息定期传送到指定的服务器中。加强安全性。

参考文献

[1]张晓哲.路由协议并行处理技术研究[D].国防科学技术大学2005

[2]管剑波.集群路由器体系结构及其关键技术的研究[D].国防科学技术大学2005

[3]陈曙晖.基于内容分析的高速网络协议识别技术研究[D].国防科学技术大学2007

[4]张义荣.基于机器学习的入侵检测技术研究[D].国防科学技术大学2005

[5]张德华.基于信任管理系统的点对点网络安全问题研究[D].国防科学技术大学2007

[6]涂睿.位置与标识分离网络体系结构及关键机制研究[D].国防科学技术大学2009

[7]陈一骄.网络入侵检测系统高速处理技术研究[D].国防科学技术大学2007

[8]胡建强.Web服务发现若干关键技术研究[D].国防科学技术大学2005

[9]谭明锋.域间路由协议BGP-4健壮性测试技术的研究[D].国防科学技术大学2005

[10]宋震.移动自组织网络组播安全技术研究[D].国防科学技术大学2007

计算机网络路由器 篇2

1.打开您的IE游览器--点击工具--连接--点“从不使用拨号连接”,

2,点局域网(LAN)设置--点“自动检测设置(A),然后点击应用,确认就可以了. 问题补充:

如果您的路由器设置限制了使用地址的话,就:

1,点击左面--我的电脑--在地址栏输入192,168,1.1进入,

2,用户名和密码一般都是admin,

3,打开后--点击左边第二项LAN设置--DHCP起止IP地址,将原来设定的范围扩大:假如之前是192.168.1.100-192.168.1.102,可以将后面的这个1.102任意扩放到1.103到1.199之间的任何一个数.

家用路由器暗埋“网络安全地雷” 篇3

路由器被黑，WiFi连接总弹广告

酷爱玩手机的刘先生最近在家里用手机上网时，手机总是弹出“免费注册观看”视频的广告图片，令他不胜其烦。但是当他离开家出门，手机断开WiFi改为3G网络上网时，手机上的广告就不再出现了，而回家之后连上WiFi，广告图片又重新出现。

这种情况大概10月中旬开始出现，持续了大半个月的时间，最后，刘先生向网络安全人员求助才得知，原来他家的无线路由器被“黑”了，DNS（域名系统）指向了一个所在地为韩国的IP地址，删掉这个DNS后，手机上网就恢复了正常。

中招原因：没有修改路由器管理密码

据调查，许多路由器DNS设置之所以被篡改，是因为没有修改路由器出厂默认的管理密码，被黑客利用路由器“弱密码”漏洞实施攻击，在日常上网时不知不觉间就中招了。在存在路由器“弱密码”漏洞的网络中，电脑只要访问一个带有攻击代码的恶意网页，路由器DNS就会自动被篡改为黑客指定的DNS。DNS相当于网络中的“导航仪”，用户输入想访问的网址，就由DNS服务器来分配该网址对应的IP。

无线路由器有两个重要的密码，一个是WiFi密码，主要是为了防止他人蹭网；另一个是路由器管理密码，主要是对路由器上网账号、WiFi密码、DNS、联网设备进行管理设置。许多网民没有更改路由器管理密码的习惯，长期使用路由器出厂默认的弱密码，给黑客们提供了可乘之机。

据调查报告显示，全国4.7%的家庭路由器DNS曾经遭黑客篡改，而家用路由器已经与电脑、手机并列为黑客重点攻击的三大目标。黑客篡改DNS的主要目的是推送色情网页和游戏广告，其比例达到49.5%；28.0%的是为了把电商网站劫持到推广页面，从而赚取推广佣金。

此外，网民们还遭遇过访问网上银行、购物网站时输入正确的网址，实际打开的却是冒牌网站的页面，这时受害者输入网银、网上支付的账户密码，都会提交到钓鱼网站的服务器上，这些都是因为DNS被篡改的缘故。

如何预防家用路由器被“黑”？

首先，在第一时间修改路由器的默认密码，并尽量使用相对复杂的强密码，例如10位以上、字母+数字的组合。即便忘记了也不影响日常使用，今后需要登录路由器管理后台时，可通过路由器上的“复位键”恢复出厂设置。还有开启路由器MAC地址过滤功能，关闭路由器SSID广播，将路由器管理的默认IP地址修改为其他的局域网IP地址字段。另外还可使用网络安全软件进行检测。

计算机网络路由器的应用探讨 篇4

1 计算机网络路由器的概念和组成结构

路由器作为一种计算机网络的连接设备, 主要是进行网络间的连接与运行, 以此来实现计算机之间不同类型的资源信息和数据共享。路由器最初出现于上个世纪末, 其使用的参考模型是采用分层结构的技术在国际组织亮相的, 在网络通信功能方面将计算机从低到高划分为七个层次, 分别是对计算机物理、数据连接、网络、传输、会话、表示和应用方面的介绍。路由器组成首先应当具备两个以上的接口, 运用这样的接口进行不同网络设备之间的连接。路由器作为一种能够支持一组路由协议和两个或两个以上的子网协议, 同时还具备转发信息和寻找路径、存储信息和数据路径选择、多媒体信息传输和负载平衡以及智能化网络等方面的基本功能。路由器是作为一种计算机网络设备服务于网络层的, 选择最佳的路由路线进行信息传送, 可以说路由器是计算机网络的枢纽。

2 计算机网络路由器的广泛应用

2.1 家庭路由器在计算机网络中的运用

网络随着互联网技术的迅速发展已经广泛应用于人类的日常生活和工作中, 因此实现网络资源共享是人类一直关注的焦点。路由器的工作原理是根据数据的网络地址来进行信息分析, 根据网络管理人员设置的路由算法进行路由器的安装, 通过对自身构造的路由表将信息进行筛选进而输送到下一条路径, 最终到达目的地。在连入路由器的计算机网络中, 能够方便人类的上网不受时间和地区的限制, 随时随地的无线网络实现了更加快捷方便的上网体验, 对企业和人类生活工作具有很大的帮助。接入路由器是一种连接互联网服务供应商和家庭之间的一种小型路由器, 随着科学信息技术的迅速发展, 接入路由器已经由非限速路由器逐渐提升为串行线路网际协议和点对点协议的连接, 并且将其转移到点对点隧道协议和网络地址层协议等方面的安全结构网络协议方面。对于这些协议的设置能够在路由器的每个端口中使用, 并且接入路由器采用的是非对称数字用户线路等技术, 在很大程度上提高了各个家庭之间的网络速度。

2.2 企业路由器在计算机网络中的运用

计算机网络在大型企业中通常是需要连接多台甚至上千台计算机共同上网的, 学校和大型企业等一般是其终端系统。通常情况下, 企业路由器主要是将最大的方便和快捷作为其主要发展目标, 在快速和便捷的基础上尽可能的多完成各个端点间的计算机网络连接, 同时在路由器的研制中, 提高吞吐量的技术能够在短时间内大大增加数据的传送量。在某些情况下, 还需要满足不同的网络终端客户提供不同的服务质量的需求。在我国存在许多企业使用价格便宜、安装便捷、不需要配置的网桥或者集线器等进行互联网的连接来进行上网, 但是这种网络连接设备存在其局限性, 与路由器相比其能够提供的服务质量相对比较低下, 且服务功能相对较少。与此同时, 路由器能够根据不同网络端口的优先级别进行分类, 以此来为客户提供非同一般的服务质量和网络享受。

2.3 企业之间的路由器在计算机网络中的运用

企业之间的路由器计算机网络运用也称骨干级路由器, 作为骨干级路由器, 其主要的目标是实现高速度和高稳定以及高可靠性, 其硬件的可靠性主要依靠电话交换网中的技术来运行, 运用双电源和热备份以及双数据通路的手段来进行。骨干级路由器对电话交换网的这些技术是基本通用的, 再进行转发表里寻找路由浪费非常多的时间是当前制约骨干级路由器网络性能发展的因素之一, 当骨干级路由器接收一个信息包时, 路由器的输入端口会自发的在转发表中寻找该信息包的目标地址, 当这个信息包非常短的时候, 将会加大路由器寻查路径所消耗的时间, 所以骨干级路由器适合运用于信息量比较大的企业之间的计算机网络信息传送, 这时其传播速度将会非常稳定和迅速。

2.4 太比特路由器在计算机网络中的运用

目前在市面上出现了一种新型的路由器, 称之为太比特路由器, 该种路由器现阶段仍旧处于开发和实验阶段。其中在互联网的三种主要技术中, 密集波分复用技术和光线技术已经非常成熟了, 但是在当前的宽带对应路由器是不能够很好的满足非常成熟的密集波分复用技术和光纤技术两方面的需求的, 并且单方面的增强这两方面技术的成熟度是无法从根本方面提高计算机网络的性能的。所以对于太比特路由器来说, 提高其宽带连接技术是当前非常重要的任务之一。对于网络攻击的繁多种类, 路由器也会经常遭受到漏洞攻击。所以, 为了保证计算机网络路由器的安全上网, 在设计时应该采取多个方面的防护措施, 同时保证硬件、性能和配置等多个方面的安全, 对上网的口令进行设置, 以此来保护顾客使用路由器上网的安全, 通过这些方法, 进行科学合理的研究, 从而生产出安全、高效的计算机网络路由器。

3 总结

通过对计算机网络路由器的应用研究, 能够清楚地了解到路由器的基本结构、设备组成以及工作原理等, 可以总结出路由器在使用过程中会产生的各项问题故障以及相应的解决方法, 通过科学、合理、有效的方法, 解决路由器所带来的不安全问题, 为客户提供安全可信、高速稳定、传送信息量大的无线网络, 从而保证计算机网络路由器的广大市场销售, 在众多的企业竞争中生存。

参考文献

[1]李忠武, 陈丽清.计算机网络路由器的应用研究[J].现代电子技术, 2014 (08) :55-56.

[2]朱小明, 张弘, 王兵等.计算机网络实验课程考试系统设计及实现[J].实验技术与管理, 2013 (01) :101-102.

无线路由器・什么是网络协议 篇5

网络协议即网络中(包括互联网)传递、管理信息的一些规范。如同人与人之间相互交流是需要遵循一定的规矩一样，计算机之间的相互通信需要共同遵守一定的规则，这些规则就称为网络协议。

一台计算机只有在遵守网络协议的前提下，才能在网络上与其他计算机进行正常的通信。网络协议通常被分为几个层次，每层完成自己单独的功能。通信双方只有在共同的层次间才能相互联系。常见的协议有：TCP/IP协议、IPX/SPX协议、NetBEUI协议等。在局域网中用得的比较多的是IPX/SPX.。用户如果访问Internet，则必须在网络协议中添加TCP/IP协议。

TCP/IP是“transmission Control Protocol/Internet Protocol”的简写，中文译名为传输控制协议/互联网络协议)协议， TCP/IP(传输控制协议/网间协议)是一种网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的.数据往来格式以及传送方式。TCP/IP是INTERNET的基础协议，也是一种电脑数据打包和寻址的标准方法。在数据传送中，可以形象地理解为有两个信封，TCP和IP就像是信封，要传递的信息被划分成若干段，每一段塞入一个TCP信封，并在该信封面上记录有分段号的信息，再将TCP信封塞入IP大信封，发送上网。在接受端，一个TCP软件包收集信封，抽出数据，按发送前的顺序还原，并加以校验，若发现差错，TCP将会要求重发。因此，TCP/IP在INTERNET中几乎可以无差错地传送数据。 对普通用户来说，并不需要了解网络协议的整个结构，仅需了解IP的地址格式，即可与世界各地进行网络通信。

IPX/SPX是基于施乐的XEROX’S Network System(XNS)协议，而SPX是基于施乐的XEROX’S SPP(Sequenced Packet Protocol：顺序包协议)协议，它们都是由novell公司开发出来应用于局域网的一种高速协议。它和TCP/IP的一个显著不同就是它不使用ip地址，而是使用网卡的物理地址即(MAC)地址。在实际使用中，它基本不需要什么设置，装上就可以使用了。由于其在网络普及初期发挥了巨大的作用，所以得到了很多厂商的支持，包括microsoft等，到现在很多软件和硬件也均支持这种协议。

计算机网络路由研究概述 篇6

关键词：计算机网络；网络路由；路由器技术；路由算法

中图分类号：TP393.02 文献标识码：A 文章编号：1007-9599 (2012) 10-0000-02

一、计算机网络路由概述

一直以来网络路由都是计算机网络领域中研究的关键问题。现如今，计算机网络的规模越来越庞大，网速也越来越快，各种媒体信息的传播都离不开网络这一载体，为此，对网络路由提出了更高的要求，路由算法更是层出不穷，无论是何种路由算法其最终目的都是为了寻找最佳路径对信息进行传递，以此来提高服务质量，并提高网络资源的整体利用率。计算机网络中的路由选择是一个比较复杂的问题，其不仅具有组合优化问题的性质，而且又属于其中的NP完全一类。由下面的例子中便可以看出這一问题的复杂性。例如，某一个网络具有21个节点，每个节点对应5条候选路由，若是采用枚举法大约需要尝试上亿次才能够得出全局最优解。换言之，就算以最快的计算机进行运算也需要近万年的时间，为此，只能采用近似算法或是随机算法。

通常在研究计算机网络设计中路由选择的优化过程中，在预先给定网络拓扑结构以及链路容量后，便可从中选出一条最佳的路由，进而达到数据信息经过网络的平均时延最小的目的，这样能够使资源的利用率最高。计算机网络路由的优化研究开始于对通信网络的分析，自此之后逐步渗透到计算机网络等领域当中。最初网络路由的效能分析方法仅仅局限于两个终端的问题上，近年来，随着大型网络系统的出现，使得这一分析变得更加复杂，许多新的计算方法和理论也随之出现。自上世纪70年代以来，网络路由的优化理论获得了长足的发展，大量与之有关的文献资料也都相继发表。有人提出使用条件概率的方法对路由的效能进行求解。上世纪70年代，印度的学者虽然对原有的算法进行了改进，但由于需要列举2 个状态，从而使得该方法在复杂的网络中无法适用。上世纪80年代，通过图论中的条件概率及边收缩原理对网络路由作出了相应的简化，但由于实现的过程较为复杂，故此该方法也未获得推广使用。在1986时有人提出了网络路由效能综合的概念，这一概念的提出是网络路由优化的研究更具实质性内容，同年我国以廖炯生为代表的多为专家学者在对路由效能进行系统研究的基础上，提出了一些数学改进算法，但是这些算法对于较为复杂的网络路由优化效果并不明显。直到1998年，巴拉巴斯与其同事在对万维网络拓扑结构的研究中发展，计算机网络并不完全是随机的，其具有一定的规律性，通过网络拓扑图能够清晰的看出，其所产生的是一条递减的曲线，而这种性质的网络被称为无标度网络。

二、路由器技术

近年来，随着互联网的快速发展以及用户数量的不断增多，形式各样的网络应用随之不断涌现，人们对于网络互联设备的安全性、稳定性以及各方面性能的要求也越来越高。路由器作为IP网络的核心设备之一，路由器技术现已成为网络领域研究的重点和热点课题，正因如此，越来越多的科研机构开始关注路由器的发展。通常情况下，路由器是在OSI/RM的网络层上工作的，其主要负责不同网络之间的数据转发、分粗以及存贮，并决定在网络间传输数据时的路由取向，可以说路由器是实现网间互联的必备设备之一。路由器最为基本的用途是能够将分开在多个逻辑上的网络进行连接，而该功能的实现需要路由器具备选择路径及网络地址判断的功能，这样才能在多个网络互连的环境中建立灵活的连接。路由器一般只接收其它路由传输过来的信息，其属于网络层中的一种互联设备。虽然路由器能够支持多种协议，但大部分路由都是在TCP/IP下运行。路由器一般可连接两个或两个以上由IP子网的逻辑端口，并且至少有一个物理端口。路由器按照接收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳的地址。而路由表的维护主要是通过与网络上其它路由器交换路由及链路信息来实现的。路由器通常由输入和输出端口、路由处理器以及交换网络等几个部分组成。输入端口既是报文接收点也是物理链路的连接点；输出端口主要负责缓冲及队列管理，同时利用复杂的调度算法能够实现QoS等功能；交换网络主要负责完成输入与输出端口间的互联；路由处理器则负责运行各种路由协议及系统软件，借此来实现维护计算转发表以及路由表等功能，这些功能既可以通过计算机硬件予以实现，也可以通过相应的软件予以实现。路由器最主要的作用就是为经过其中的每一个数据帧找到一条最佳的传输路径，并通过该路径将这些数据信息传送至目的节点。由此可见，最佳路径的选择策略即路由算法就是路由器的关键之所在。正常情况下，路由器中会保存有与各种传输路径相关的数据信息，这些数据就是我们所说的路由表，其可供路由选择路径时使用。在路由表中存储着大量的子网信息和下一个路由器的名称。

现阶段，TCP/IP网络基本都是利用路由器实现互连的，换言之，互联网就是由诸多IP子网并以路由器进行互连的国际性网络。该网络又被称之为以路由为基础的网络。路由器不但负责对IP分组进行转发，同时还负责与其它路由的联络。路由动作主要包括寻找最佳路径和转发这两项内容。寻找最佳路径通常是由路由选择算法予以实现的。由于这一过程中会涉及不同的路由选择算法及选择协议，故此该过程相对比较复杂。为了能够准确判定出最佳路径，路由选择算法应启动并维护含有路由信息的路由表。

三、路由算法的设计原则及其分类

（一）路由算法的设计原则

路由算法是指路由问题的求解方法与步骤，是计算机网络路由器的重要组成部分，采用何种算法往往能够决定最终的寻径结果。通常情况下，路由算法的设计应当遵循以下原则：

其一，最优性原则。是指路由算法选择最佳路径的能力。

其二，简洁性原则。路由算法力求设计简洁，在确保有效功能的前提下，减少软件开销成本。

其三，坚固性原则。路由算法即使处于不可预料和非正常环境下，也能够保证正常运行。由于路由器分布于网络连接点上，一旦其发生故障便会极易产生无法预知的严重后果，所以路由算法的设计必须能够经受时间的考验，并确保其在网络运行环境下具备可靠性。

其四，快速收敛性原则。收敛是指在最佳路径的判断上所有路由器达到一致的过程。当网络发生突发事件时，会引起路由处于可用或不可用状态。这时，路由器会发出更新信息，并将更新信息传播至整个网络，从而启动重新计算最佳路径的功能，直至所有路由器均处于公认的最佳路径，避免由于路由算法收敛慢而造成网络中断或路径循环。

其五，灵活性原则。路由算法应当准确、快速地适应各种网络环境，如当某个网段出现故障时，路由算法必须及时发现故障，同时为该网段中的所有路由重新选择最佳路径。

（二）路由算法的分类

路由算法能够使用多样化的度量标准来选择最佳路径，复杂的路由算法可以采用多种度量来选择路由，其常用度量包括以下几个方面，即路径长度、带宽、可靠性、负载、时延、通信成本等。路由算法包括非自适应和自适应两类。

1.非自适应算法是指不测量和不利用当前的网络拓扑结构和交通流量，而只是通过遵循某项原则选择路由。由于网络中有中心节点，它可以依据最佳路由算法来获取每对节点间的最佳路由，而后针对每个节点构建固定路由表，并在网络拓扑改变的状态下，重新计算和装入路由表，或者在各个路由相关节点上人工修改路由表。

2.自适应算法的路由主要以网络当前状态信息为依据进行选择，来设法适应不断变化的网络流量和拓扑结构。在自适应路由的选择过程中，当前能够提供的路由信息必须在网络节点间传送，所以，不可再用路由、改变的路由以及新的路由均可以在相应的路由表中得以反映。为了确保自适应路由选择的顺利实现，必须依靠路由选择协议，并采取计算最短路径的方法和定义交换路由选择信息的方式。现阶段，使用最为广泛的路由选择协议是链路状态路由选择和距离向量路由选择协议。链路状态算法，也被称为最短路径算法，是指发送路由信息到互联网上所有的节点。然而，就每个路由器而言，仅发送它的路由表中描述了其自身链路状态的一部分，而不是全部；距离向量算法是指每个路由器将路由表全部或部分信息发送到邻近节点上。两种路由选择协议的区别在于，链路状态算法可以在网络各处发送极少量的信息，距离向量算法是在邻接路由器上发送大量信息。链路状态算法具备较强的收敛性，相比较距离向量算法而言不易产生路由循环。此外，链路状态算法具有更强的CPU处理能力以及更大的内存空间，所以导致链路状态算法的运行成本较高。

参考文献：

[1]倪县乐,周卫华,曾志民,丁炜.高速路由交换技术的研究及展望[J].计算机工程与应用,2008,2

[2]刘怀亮,王东,徐国华.一种基于流量工程的网络端到端性能分析算法[J].系统工程与电子技术,2009,3

[3]于建军.宽带网络建设中基层交换技术的应用探讨[J].经济技术协作信息,2007,27

[4]王梓斌,郑袜华,向良军.基于专家决策的网络性能管理系统的设计[J].电脑知识与技术,2007,4

[5]休晓明,褚庆昕,朱明英等.一种新的自相似流量模型的网络性能分析[J].科学技术与工程,2007,14

[6]付方发,张庆利,王进祥等.支持多种流量分布的片上网络性能评估技术研究[J].哈尔滨工业大學学报,2007,5

基于路由器的网络技术 篇7

一、路由器的基本概念

1977年，国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI), OSI参考模型采用分层结构技术，将整个网络的通信功能分为职责分明的七层，由高到低分别是：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成，即应用层、传输层、网络层、数据链路层、物理层。只有对等层才能相互通讯，一方在某层上的协议是什么，对方在同一层次上也必须采用同一协议。路由器就工作在TCP/IP模型的第三层(网络层)，主要作用是为收到的报文寻找正确的路径，并把它们转发出去。

二、路由器的基本构成部分

1. 两个或两个以上的接口(用于连接不同的网络)。

2. 协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。

3. 至少支持两种以上的子网协议(异种网)。

4. 一组路由协议。

三、路由器的基本功能

1. 存储、转发、寻径功能。

2. 路由功能。包括数据包的路径决策、负载平衡、多媒体传输(多播)等。

3. 智能化网络服务。包括QOS、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。

四、路由器的分类

按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。

1. 高端路由器。

位于WAN骨干网的中心或骨干位置，构成IP网络的核心。

2. 中端路由器。

适合于有分支机构的中小型企业，一般位于路由中心位置上，互连企业网的各个分支机构，并作为企业网的出口，上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说，中端路由器是其网络的中心。

3. 低端路由器。

主要针对派出机构，接口少，处理能力要求不高等场合。

4. 专用路由器。

如VPN路由器、加密路由器、语音路由器，通过特殊的附加(软)硬件实现特定功能。

五、主要技术分析

IPv6是IP的一种新的版本，它同目前广泛使用的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3×109个增加到4.3×1038个。经由IPv6，路由数可以减少一个数量级。

IPv6所以能使互联网连接许多东西变得简单而且使用容易，是因为它使用了以下技术。

1. 地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。

IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向。

2. 提高路由器吞吐量的技术。

路由器的吞吐量是指路由器单位时间内能够转发的报文数，通常用PPS (Packet Per Second)表示。以一个典型的企业网为例，一个派驻机构的上行速率有2000PPS就够了，分支的核心路由设备必须具有几万PPS的吞吐能力，而公司总部的路由中心则可能需要几十万甚至上百万PPS的处理能力。

目前主要有下面的提高路由器吞吐量的技术：改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/A-SIC)转发等。交换式路由器(Switch Router)就是利用这些技术的结晶。

3. 可编程ASIC技术。

ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大，ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求，出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU，通过改写微码，使其具有处理不同协议的能力。

4. VPN技术。

VPN (Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN，像企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。

“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴，企业内部资源享用者只需连入本地ISP的POP (Point of Presence，接入服务提供点)即可相互通信;而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资源共享处放置一台VPN服务器就可以。

常见的VPN分为三种类型：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)，这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet，以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。

5.QOS (Quality Of Service）。

QOS是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛，话音、电子商务、远程教育等。传统的数据网对业务是不区分的，当网上数据流量比较大时话音质量将急剧下降，某些重要的公司业务流也将受到影响。QOS就是要区别对待这些业务，提高网络的服务质量。

QOS包含的流分类是将接入的用户数据按业务进行分类，赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制，使之符合QOS协定;流量工程则是从全网管理的高度保障QOS。

6. MPLS (Multi Protocol Label Switch）———多协议标记交换。

IP的发展存在着一个非常明显的障碍，这是由IP本身固有的一个缺陷决定的，IP是一个无连接的协议，因此IP网上的应用无法得到很好的QOS保证。由于缺乏连接性，每一个IP包都是单独地发到目的地的，网络中的各个节点都无从知晓这些无连接的包中的某一个是如何到来的。与此相比，面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点和干线可以先为其预留资源，以提供QOS保证。IP具有其它网络协议所无法比拟的灵活性，这一点通过Interne已经得到了证明，而面向连接的协议可以保证QOS，因此这两种协议的结合是非常有意义的，这就导致了MPLS的产生。

MPLS将IP的灵活性和帧中继、ATM等面向连接网络的QOS保证特性有效地结合在了一起，这对于IP的进一步广泛应用无疑有着巨大的推动作用。

7. 多播技术。

多播(Multicast)主要用于视频会议等应用场合，这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址，即从224.0.0.0到239.255.255.255的多播地址。每个多播地址代表一个多播组，而不是一台主机。IGMP (Interne组管理协议)用于控制用户加入或离开多播组，多播路由协议则用于建立多播路由表，或称多播树。

如果一个局域网中有一个用户通过IGMP宣布加入某多播组，则局域网中的多播路由器就将该信息通过多播路由协议进行传播，最终将该局域网作为一个分枝加入多播树。当局域网中的所有用户退出该多播组后相关的分枝就从多播树中删掉。

多播路由协议有下列几种。DVMRP：距离向量多播路由协议;MOSPF：多播OSPF;CBT：基于核的树;PIM：协议无关的多播。

多播网中可能有不支持多播的路由器，此时多播路由器使用“IP over IP”的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器先将单播IP头剥掉，然后继续进行多播传输。

8. 网管系统。

网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多，与路由器产品相关的网管协议主要有SNMP、RMON等，其中SNMP最常见。SNMP采用代理(Agent)工作方式，设备侧(路由器上)运行Agent，网管站运行管理软件。代理的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等)，回答网管站对这些信息的查询;传达网管站的设置命令，如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

以上对目前基于路由器的网络技术进行了介绍。上网用户越来越多，宽带网建设如火如荼，对路由器技术更新的要求会越来越强烈。我们相信，通过业界同仁的不懈努力，未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

摘要：本文首先介绍了路由器的基本概念和分类方法。在此基础上, 重点对IPv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QOS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的技术进行了全面的分析, 对这些技术的发展作了高度的概括和总结。

关键词：路由器,基本概念,分类,网络技术

参考文献

[1]张公忠.现代网络技术教程[M].电子工业出版社, 2000.1.

[2]宋文官, 蔡京玖.计算机网络基础[M].中国铁道出版社, 2007.

基于路由器的网络技术 篇8

1 路由器的基本概念和分类

1977年,国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI),OSI参考模型采用分层结构技术,将整个网络的通信功能分为职责分明的七层,由高到低分别是:应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成即:应用层、传输层、网络层、数据链路层+物理层。只有对等层才能相互通讯。路由器就工作在TCP/IP模型的第三层(网络层),主要作用是为收到的报文寻找正确的路径,并把它们转发出去。路由器的基本构成部分:1)两个或两个以上的接口(用于连接不同的网络)。2)协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。3)至少支持两种以上的子网协议(异种网)。4)一组路由协议。

路由器的基本功能:1)存储、转发、寻径功能。2)路由功能。包括数据包的路径决策、负载平衡、多媒体传输(多播)等。3)智能化网络服务。包括Qo S、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。

按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。1)高端路由器位于WAN骨干网的中心或骨干位置,构成IP网络的核心。2)中端路由器适合于有分支机构的中小型企业,一般位于路由中心位置上,互连企业网的各个分支机构,并作为企业网的出口,上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说,中端路由器是其网络的中心。3)低端路由器主要针对派出机构,接口少,处理能力要求不高等场合。

2 主要技术分析

1)IPv6技术。IPv6是IP的一种新的版本,它同目前广泛使用的的IPv4相比,地址由32位扩充到128位。从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。经由IPv6,路由数可以减少一个数量级。IPv6所以能使互联网连接许多东西变得简单而且使用容易是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向。

2)提高路由器吞吐量的技术。路由器的吞吐量是指路由器单位时间内能够转发的报文数,通常用pps(Packet Per Second)表示。以一个典型的企业网为例,一个派驻机构的上行速率有2000pps就够了,分支的核心路由设备必需具有几万pps的吞吐能力,而公司总部的路由中心则可能需要几十万甚至上百万pps的处理能力。目前主要有下面的提高路由器吞吐量的技术:改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/ASIC)转发等。交换式路由器(Switch Router)就是利用这些技术的结晶。

3)可编程ASIC技术。ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大,ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求,出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU,通过改写微码,使其具有处理不同协议的能力。

4)VPN技术。VPN(Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴,企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点)即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后,出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游,甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。

5)Qo S(Quality of Service)。Qo S是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛,话音、电子商务、远程教育等。传统的数据网对业务是不区分的,当网上数据流量比较大时话音质量将急剧下降,某些重要的公司业务流也将受到影响。Qo S就是要区别对待这些业务,提高网络的服务质量。Qo S包含的流分类是将接入的用户数据按业务进行分类,赋予不同的优先级;流量整形是指对特定的业务流进行带宽限制,使之符合Qo S协定;流量工程则是从全网管理的高度保障Qo S。

6)MPLS(Multi Protocol Label Switch)———多协议标记交换。IP的发展存在着一个非常明显的障碍,这是由IP本身固有的一个缺陷决定的,IP是一个无连接的协议,因此IP网上的应用无法得到很好的Qo S保证。由于缺乏连接性,每一个IP包都是单独地发到目的地的,网络中的各个节点都无从知晓这些无连接的包中的某一个是如何到来的。与此相比,面向连接的协议如帧中继则需要建立一个固定的虚电路。连接路径上的各个节点以及干线可以先为其预留资源,以提供Qo S保证。IP具有其他网络协议所无法比拟的灵活性,这一点通过Internet已经得到了证明,而面向连接的协议可以保证Qo S,因此这两种协议的结合是非常有意义的,这就导致了MPLS的产生。MPLS将IP的灵活性和帧中继、ATM等面向连接网络的Qo S保证特性有效地结合在了一起,这对于IP的进一步广泛应用无疑有着巨大的推动作用。

7)多播技术。多播(Multicast)主要用于视频会议等应用场合,这种应用需要同一份数据同时发送给多个用户。多播包的目的地址使用D类IP地址,即从224.0.0.0到239.255.255.255的多播地址。每个多播地址代表一个多播组,而不是一台主机。IGMP(Internet组管理协议)用于控制用户加入或离开多播组,多播路由协议则用于建立多播路由表,或称多播树。如果一个局域网中有一个用户通过IGMP宣布加入某多播组,则局域网中的多播路由器就将该信息通过多播路由协议进行传播,最终将该局域网作为一个分枝加入多播树。当局域网中的所有用户退出该多播组后相关的分枝就从多播树中删掉。多播路由协议有下列几种。DVMRP:距离向量多播路由协议;MOSPF:多播OSPF;CBT:基于核的树;PIM:协议无关的多播。多播网中可能有不支持多播的路由器,此时多播路由器使用"IP over IP"的隧道方式将多播包封装在单播IP包中透传给相邻的多播路由器。相邻的多播路由器再将单播IP头剥掉,然后继续进行多播传输。

8)网管系统。网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多,与路由器产品相关的网管协议主要有SNMP、RMON等,其中SNMP最常见。SNMP采用代理(Agent)工作方式,设备侧(路由器上)运行Agent,网管站运行管理软件。代理的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等),回答网管站对这些信息的查询;传达网管站的设置命令,如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

3 结束语

以上对目前最新的基于路由器的网络技术进行了介绍。相信随着上网用户的越来越多,随着宽带网建设的如火如荼,对路由器技术更新的要求会越来越强烈。通过业界同仁的不懈努力,未来更加先进、更能适应网络发展要求的新一代技术定将层出不穷地涌现出来。

摘要：该文首先介绍了路由器的基本概念和分类方法。在此基础上,重点对Ipv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QoS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的新技术进行了全面的分析,对这些技术的发展作了高度的概括和总结。

关键词：路由器,网络,网络技术

参考文献

[1]张公忠.现代网络技术教程[M].北京:电子工业出版社,2000.

基于路由器的网络安全 篇9

1 理解网络安全

为了深入的理解网络安全, 不得不涉及安全包括的5个基本要素:保密性、完整性、可用性、可控性和可审查性。

1.1 攻击行为对网络安全的影响

由于任何网络, 包括公网和私有网, 都可能存在安全威胁。目前网络安全的影响主要表现在:

对网络资源的非授权访问。表现形式:假冒, 身份攻击, 非法用户进入网络系统进行违法操作, 合法用户以未授权方式进行操作等。

信息泄漏或丢失:指私有数据在有意或无意中被泄漏出去或丢失。

破坏数据完整性:以非法手段取得对数据的控制使用权, 删除、修改、插入或重发某些重要信息, 修改数据, 干扰用户的正常使用。

干扰正常网络功能:它不断对网络服务系统进行干扰, 改变其正常的作业流程, 极大地影响正常用户的使用。

利用网络传播病毒:通过网络传播计算机病毒, 导致用户数据和计算机系统遭受致命破坏。

1.2 网络的安全策略

网络安全策略定义了一个机构对于如何使用计算机和网络设施, 以提供更好的服务和更高的生产力, 同时也规定防范和对应安全威胁的措施。在开始规划网络安全之前, 应该先制定网络安全策略。没有正确的安全策略, 很难建立起功能完善、可操作性强的安全网络。

1.2.1 物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限, 防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度, 防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

1.2.2 访问控制策略

访问控制是网络安全防范和保护的主要策略, 它的主要任务是保证网络资源不被非法使用和非法访问, 它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。但访问控制可以说是保证网络安全最重要的核心策略之一, 主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测及锁定控制、网络端口及节点的安全控制、防火墙控制。

1.2.3 网络安全管理策略

在网络安全中, 除了采用上述技术措施之外, 加强网络的安全管理, 制定有关规章制度, 对于确保网络的安全、可靠地运行, 将起到极其重大的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围, 制订有关网络操作使用规程和人员出入机房管理制度, 制定网络系统的维护制度和应急措施等。

2 访问控制安全机制及有关模型

访问控制, 作为提供信息安全保障的主要手段及最为突出的安全机制, 被广泛地应用于路由器、防火墙、文件访问、VPN (虚拟专用网) 及物理安全等多个方面。

访问控制是信息安全保障机制的核心内容, 它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体和访问客体的访问权限。访问包括读取数据、更改数据、运行程序、发起连接等, 从而使计算机系统在合法范围内使用。访问控制机制决定用户及代表用户的程序能做什么操作及能够做到什么程度。

访问控制的两个重要过程:

1) 通过“鉴别” (authentication) 来检验主体的合法身份;

2) 通过“授权” (authorization) 来限制用户对资源的访问级别。

根据实现的基本理念不同, 访问控制可分为以下两种:强制访问控制 (MAC:mandatory access control) 和自主访问控制 (DAC:discretionaryaccess control) 。

2.1 访问控制应用类型

根据应用环境的不同, 访问控制主要有以下3种:

1) 网络访问控制:限制用户可以建立什么样的连接以及通过网络传输什么样的数据, 例如网络防火墙。

2) 主机操作系统访问控制:操作系统借助访问控制机制来限制对文件及系统设备的访问, 例如Windows操作系统。

3) 应用程序访问控制:嵌入应用程序中, 以提供更细粒度的数据访问控制, 例如Oracle数据库。

2.2 访问控制模型

根据访问控制的相关理论, 目前比较成熟的访问控制模型包括BLP (Bell-La Padula) 安全模型、Lattice安全模型、Biba完整性模型、Chinese Wall模型。

BLP保密性模型是第一个能够提供分级别数据机密性保障的安全策略模型。该模型基于强制访问控制系统, 以数据的敏感度来划分资源的安全级别。BLP模型允许用户读取安全级别比他低的资源;相反地, 写入对象的安全级别只能高于用户级别。

Lattice模型通过划分安全边界对BLP模型进行了扩充, 它将用户和资源进行分类, 并允许它们之间交换信息。安全的焦点是在不同的安全集束间控制信息的流动, 对不同安全集束中的客体也进行安全等级划分, 而不仅是垂直检验其敏感级别。

Biba模型基于两种规则来保障数据的完整性和保密性, 强调的是资源的完整性。

下读 (NRU) 属性, 主体不能读取安全级别低于它的数据。

上写 (NWD) 属性, 主体不能写入安全级别高于它的数据。

因此, 只有用户的安全级别高于资源的安全级别时可对资源进行写操作;相反地, 只有用户的安全级别低于资源的安全级别时可读取该资源。

Chinese Wall模型是应用在多边安全系统中的安全模型, 应用在可能存在冲突的组织中。基础是客户访问的信息不会与目前他们可支配的信息产生冲突。

3 用访问控制列表构建安全体系

一种流行的方法是在网络边缘上部署防火墙, 将来自攻击者的端口扫描和恶意数据流阻挡在企业网络的大门之外。尽管边缘防火墙是实现网络安全的不可缺少的工具, 但是它们对于阻止来自网络内部的攻击却无能为力。对于用户来说, 仅仅在网络边缘部署防火墙, 一次故障或一次错误的配置就可能危及整个网络。

为了化解这些风险, 根据访问控制模型理论, 网络需要实施分层次的安全战略, 即所谓的“纵深防御”, 将网络分为不同密级的网段。而目前实现不同网段间网络安全的一种有效途径是在网络中的路由器上使用访问控制列表 (ACL) 。ACL通过对网络资源进行访问输入和输出控制, 确保网络设备不被非法访问或被用作攻击跳板。使用适当的ACL可以帮助用户有效减少安全风险。

由于路由器是一种多端口设备, 它按照协议和网络信息负责不同网段间数据包的转发。在网络层, 当路由器遇到一个IP包时, 它便检查IP包中的目的IP地址, 并与路由选择表中的项目进行比较。如果匹配, 路由器则依照路由选择表中的指示转发IP包;如果不匹配, 并且没有缺省的路由选择, IP包便被过滤掉。在传输层, 路由器利用TCP (传输控制协议) 报头中的源端口号、目的端口号和TCP标志 (如SYN和ACK标志) 进行包过滤。路由器可以阻塞广播信息和不知名地址的传输, 达到保护内部网络安全的目的。本文以Cisco路由器的IOSV12.0为标准。

3.1 访问控制列表的作用

访问控制列表是应用在路由器接口的指令列表, 这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。在路由器的接口上配置访问控制列表后, 可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。当我们要想阻止来自某一网络的所有通信流量, 或者允许来自某一特定网络的所有通信流量, 或者想要拒绝某一协议的所有通信流量时, 可以使用访问控制列表来实现这一目标。

3.2 访问控制列表实现方法

首先在全局配置模式下定义访问列表, 然后将其应用到接口中, 使通过该接口的数据包需要进行相应的匹配, 然后决定被通过还是拒绝。并且访问列表语句按顺序、逻辑地处理, 它们在列表中自上向下开始匹配数据包。如果一个数据包头与访问权限表的某一语句不匹配, 则继续检测列表中的下一个语句。在执行到访问列表的最后, 还没有与其相匹配的语句, 数据包将被隐含的“拒绝”语句所拒绝。

3.3 通配符掩码

通配符掩码是一个32 bit的数字字符串, 它被用点号分成4个8 bit组, 每组包含8 bit。在通配符掩码位中, “0”表示“检查相应的位”, “1”表示“不检查相应的位”。通配符掩码与IP地址是成对出现的。

IP子网掩码与通配符掩码工作原理是不同的。在IP子网掩码中, 数字1和0用来决定是网络、子网, 还是相应的主机的IP地址。如表示192.168.0.0这个网段, 使用通配符掩码应为0.0.255.255。在通配符掩码中, 可以用255.255.255.255表示所有IP地址, 因为全为1说明所有32位都不检查相应的位, 这是可以用any来取代。而0.0.0.0的通配符掩码则表示所有32位都要进行匹配, 这样只表示一个IP地址, 可以用host表示。所以在访问控制列表中, 可以选择其中一种表示方法来说明网络、子网或主机。

4 路由器访问控制列表配置实例

例1:禁止HTTP (超文本传输协议) 服务。

router (config) #no ip http server

如果启用了HTTP服务, 则需要对其进行安全配置:设置用户名和密码, 采用访问列表进行控制。

例2:IP欺骗的简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址 (127.0.0.0/8) , RFC1918私有地址, DHCP (动态主机设置协议) 自定义地址 (169.254.0.0/16) , 科学文档作者测试用地址 (192.0.2.0/24) , 不用的组播地址 (224.0.0.0/4) , Sun公司的古老的测试地址 (20.20.20.0/24;204.152.64.0/23) , 全网络地址 (0.0.0.0/8) 。

例3:采用访问列表控制流出内部网络的地址必须是属于内部网络的。

路由器与CTC网络故障诊断 篇10

1 路由器原理

路由器用于连接多个子网络, 当数据从一个子网传输到另一子网时, 通过路由器的路由功能来完成。路由器根据内部设定的规则 (路由表) 分析判断数据包, 并将数据包转发送到目的地。路由器具有判断网络地址和选择IP路径的功能, 是网络连接的枢纽、“交通警察”。

2 CTC网络路由器的结构及设置

CTC网络通信一般采用双网结构, 由车站两台路由器构成广域网, 双广域网完全独立。车站中自律机、电务维护终端、车站值班员终端对外通信都依赖路由器的存储转发。路由器将信息转发到对应的的2Mb/s数字通道网络设备, 经过网络传输, 再由目的网络的路由器传输到最终的车务终端机或者调度中心的通信服务器, 实现车站与车站、车站与调度中心的通信。

路由器网络端口采用V.35接口, CTC网络2Mb/s数字通道采用G.703协议, 两者通信必须经过协议转换器。协议转换器位于路由器和通信段2Mb/s数字通道之间, 实现协议转换工作。如图所示:

路由器的配置一般通过计算机完成。

将路由器附属的蓝色控制线的一头 (RJ45, 网线口) 插在路由器面板的console口, 另一头 (DB9串口) 连在计算机主板的串口 (以COM1为例) 上, 插上路由器电源线, 打开计算机进入超级终端程序 (开始—程序—附件—通讯—超级终端) , 新建一个连接, 输入新建连接的名字如Router, 选择COM1, 设置其速率=9600b/s, 数据位=8, 奇偶校验=无, 停止位=1, 流控制=无。假设路由器的网络端口地址为172.22.33.1, 掩码是255.255.255.224, 打开路由器电源, 待超级终端连接完成后, 依次输入命令进行配置:

一般来说, 路由器的配置都已由厂家设计编制好了, 我们只须保存好相应的配置文件。万一路由器损坏, 根据相应的配置文件依次进行配置即可。

3 CTC网络故障分析

根据网络故障现象, 通过路由器命令提示查找网络故障点, 可起到事半功倍作用。

物理层故障, 网络设备本身物理故障 (如主机网卡、网线、交换机、路由器、协转、各种通道线等) 及相互接触是否完好, 可根据网络设备连接顺序和指示灯状态依次排除。

网络层故障, 主要是IP地址错误 (包括子网掩码、网关等) , 可对比路由器路由配置文件和主机IP地址, 如不在同一子网肯定是配置错误。

路由器高速串口 (2T或2AS模块) 故障时, 登陆路由器使用show interface serial命令, 查看路由器串口状态, 可以找出故障点。路由器串口状态中显示接口和线路协议状态的一般有以下4种情况: (1) Seria 0 is up, line protocol is up:表示该串口和线路协议已经正常工作, 并正在交换协议的动态信息, 网络通信正常。 (2) Seria 0 is up, line protocol is down:表示没有正确交换连接两端的网络信息, 协议没有建立起来, 可能发生通道故障。 (3) Seria 0 is down, line protocol is down:一般是串口本身故障, 根据经验路由器串口易受雷击或温度过高损坏。 (4) 串口Administrately关闭和线路协议关闭:表示接口没有被打开, 重新配置路由器输入no shutdown命令打开串口即可。

以太网口的典型故障是网线接触不好, 可通过show interface ethernet命令查看。

下面介绍典型网络通道故障处理过程:

假如甲、乙车站网络有故障, 观察路由器的数据指示灯正常的情况下, 登录到甲站路由器, 输入show int s0。如显示serial0 is up, line protocol is down, 则线路协议没有起来。在甲站本地协议转换器打环, 不断输入show int s O查看串口状态, 如显示serial0 is up, line protocol is down (1ooped) , 表示设备已经环上, 甲站设备状态正常。同样命令查看乙站路由器串口状态, 若显示serial0 is up, line protocol is down, 表示乙站路由器正常。下一步, 在乙站对甲站方向远端打环, 在甲站路由器继续输入show int s0。如显示serial0 is up, line protocol is up (1ooped) , 表示看到了乙站环, 通道良好。若仍显示serial0 is up, line protocol is down, 则表示通道故障, 需联系通信部门处理。

CTC网络系统设备构成复杂, 传输距离长, 涉及部门多, 易受雷击、电磁干扰等影响, CTC网络发生故障是常见的。为了强化CTC网络故障处理, 可从下面入手: (1) 熟悉网络结构和主要网络地址, 掌握路由器常用命令。 (2) 做好路由器配置备份工作, 尽量配备充足的备品备件到现场。 (3) 加强网管图的巡视, 发现隐患及时处理。

摘要：本文介绍了CTC网络系统中路由器的基本构成、功能以及典型故障处理方法。

关键词：CTC,路由技术,网络故障处理

参考文献

[1]布兰顿 (美) .Cisco路由器从入门到精通 (北京:电子工业出版社, 2003)

IP网络路由技术 篇11

一、IP网络路由技术

IP网络路由是以协议架构网络之间的技术。基于IP协议的Internet是当今最大的计算机网络，占有最大的用户、规模和资源。

IP地址。IP网络中数据的传输需要IP地址，一个网络的连接需要一个IP地址，但是主机上的IP地址不可以有多种。在IP分组中，IP地址在网络连接的过程中是不会改变的。

IP地址格式。IP地址是用十进制表示的32位的地址。为了保证网络地址的唯一性，网络地址必须由Internet权利机构（InternetNIC）统一分配，其他单位机构或私人不能分配。主机地址不是唯一的，所以可以各个网络系统管理员分配。

保留地址。由于不同的保留地址在用途和安全上的不同，地址就分为公共地址和私有地址两种地址。在Internet中使用公用地址，并且访问不受限制；私有地址在内部的网络中使用，私有地址单独无法访问，只能和代理服务器一起才能和Internet通信。

若想要连入Internet，首先要申请公用地址才可以连接Internet。在IP地址中保留了三个区域作为私有地址，它们的区域范围如下：

而这些保留地址与其他网络不能连接，所以只能在内部通信。主要原因是使用保留地址的网络和其他网络互连的时候，路由设备在寻找路由时会出现问题。可以将内部网络的保留地址转换成公共地址，这样可以实现内部网络与外部网络连接。这样也是保证网络安全的重要方法之一。

二、无类域路由（CIDR）

越来越多的主机连入Internet，Internet的B类地址（前两个字节为网络地址，后两个字节为主机地址。地址范围：128.0.0.0～191.255.255.255）比较缺乏，可能耗尽整个地址。为了解决这一问题，开发了无类域路由这一解决方案，给Internet充分的时间等待诞生新一代IP协议。

根据CIDR内容，可以申请几个C类地址（第一个字节、第二个字节、第三个是网络地址，最后一个字节是主机地址，地址范围：192.0.0.1～223.255.255.255）来取代申请一个B类地址。分配的C类地址的最高位相同，是连续的C类地址，此路由表用一个表项来表示一组网络地址。

三、路由选择技术

路由寻址。路由功能指路由器寻找路径，这条路径是从源网络到目的网络，相互转发数据包。为了实现高性能通信需要路由选择路径。在网络运行的过程中，源IP 地址和目的IP 地址都被数据包记录下来。数据包在路由器转发的过程中，目的IP 地址不会改变，但是每台路由器会把目的物理地址改成数据包所到达下一站或终点的物理地址，数据包发送到该物理地址的物理链路上。

路由分为两种。路由分为直连路由和非直连路由。直连路由在网络接口配置完成后可自动生成直连路由的IP 地址，接口通过这种方式直接通信。非直连路是由动态路由，人工配置静态路由或通过运行动态路由协议获得。该文原载于中国社会科学院文献信息中心主办的《环球市场信息导报》杂志http：//www.ems86.com总第539期2014年第07期-----转载须注名来源是在两个或多个路由器互连的网络之间需要通信的情况下使用。现今Internet的迅猛增长，促使IP 网络成为现代网络的标准，IP网络路由技术不只是为数据传输找一条通道，路由所选路径的传输容量和服务质量也需要考虑，并且还要对全网负荷做一个分析，为了使网络中各条通道的数据流量保持平衡。除此之外，还要求域内路由和域间路由的算法有高效的路由表查询技术，并且能快速收敛。

路由器的作用。基于IP协议建立网络，将各个IP子网相互连接起来，使用路由机制，把IP网关互相连接起来，形成了一个具有层次性的网际网。

大量的主机构成了IP子网，多个IP子网组成了整个IP网络。通过路由器完成IP子网的主机之间通信。路由器接受主机发出的IP包，通过查询路由表，来确定下一个输出口，以便把IP包发送给下一台路由器，如此发送下去，直到IP报到达通信终点的主机。IP协议中，网络有多种层次：物理层、网络层、传输层、链路层。集线器处理物理层，一台交换及处理链路层，路由器转发数据，因为网络层只有以太线路接口，所以网络层只能在以太网中。

IP网络路由是世界上最大规模，拥有最多资源的一个大型计算机网络。IP网络路由在当今网络的发展中起到不可估量的作用，是现代网络发展的标准，也是未来网络发展的基础。

路由器的网络安全机制的研究 篇12

随着计算机与通信技术的高速发展，Internet本身的缺陷和漏洞也被无情地显露出来，非法入侵、计算机病毒、恶意攻击等现象在互连网上非常普遍。而路由器是互联网的主要节点设备，构成了Internet的骨架。路由器的网络安全性直接影响着网络互连的质量，因此有效的路由器安全机制的设置可以显著提高网络的安全性。

2 网络安全面临的威胁

目前网络安全存在的威胁[1]主要表现在：

(1)非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，例如，有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。

(2)信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括信息在传输中丢失或泄漏，如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息。

(3)破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应：恶意添加、修改数据，以干扰用户的正常使用。

(4)拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

下面针对上文提出的几个方面的安全威胁，采用路由器上的相关安全机制来解决这些问题。

3 路由器网络安全访问策略

3.1 访问控制列表

访问控制列表(Access Control List,ACL)是应用到路由器接口或线路的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由特定指示条件，如源地址、目的地址和端口号等来决定。

(1)ACL工作原理

一个ACL是一组判断语句的集合，它可以应用于路由器的某个接口或线路，从而可以对出入路由器的数据包进行控制。当一个数据包到达一个接口时，如果该接口应用了某一个访问控制列表，则需要与访问控制列表中的条件判断语句进行匹配。访问控制列表中的条件判断语句按照逻辑次序顺序执行。如果一个数据包的报头与某个条件判断语句相匹配，该数据包就忽略剩下的判断语句，至此比较过程结束。

(2）动态访问控制列表

动态访问控制列表是一般访问控制列表的增强类型，其主要思想是：当用户希望访问内部网络资源时，首先通过Telnet远程登录到路由器，如果用户的身份经过成功认证，路由器便关闭Telnet会话，并在接口向内的方向增加一个动态表项，该动态表项授予用户的源IP地址临时通过路由器进行访问的权限，从而达到访问内部网络资源的目的。在达到了一个预先设置好的超时限制或网络管理员手工清除后，路由器将删除该访问控制列表的临时性动态条目，此时外部用户需要重新认证才能访问内部网络资源。

3.2 Radius服务器

路由器收到用户的认证请求，可以通过本地认证，即在路由器上建立一个用户名和口令数据库，但是如果需要管理的路由器很多，这种方法比较烦琐。为了避免管理开销，可以将路由器配置为参考一台安全服务器而不是一个本地数据库来执行用户认证，这些安全服务器可以将网络中所有的用户名和口令集中保存在一个中央数据库里。网络管理员一般都为实现该目的而选用一台TACACS+或RADIUS服务器。

RADIUS采用客户端/服务器结构，它已经被广泛实施在各种各样的需要高级别安全且需要远程访问的网络环境。RADIUS可以提供AAA服务，包含Authentication(认证)、Authorization(授权)、Accounting(计账)三个方面。它解决了哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对用户计费这些问题。RADIUS认证机制灵活，可以采用PAP、CHAP等认证方式。

3.3 实施过程

如何把ACL与Radius服务器结合使用，这里通过如图3所示的网络拓扑来说明具体的实施过程。各设备的配置信息如表1所示，其中交换机S1、S2不需要进行配置。

(1）配置基本网络环境

1)按照表1所示内容，正确填写计算机(PC1、PC2、PC3、PC4)及服务器(RS)的网络连接参数。

2)通过Console端口，分别设置路由器(R)的端口f0/1)、f()/1。

此时，通过路由器R连接的两个网络之间可以相互访问，可以通过ping命令验证。另外，网络中的各台主机都可以在不经过Radius服务器验证的情况下，通过Telnet方式登录到路由器上。

(2）设置ACL

1)对路由器R的VTY线路设置ACL

上述的ACL定义了哪些主机可以连接到VTY线路上，“line vty 0 4”命令指定了5条VTY线路。命令“access-class5 in”用于将ACL施用至VTY线路，而不是路由器的某个接口，其中关键字“in”几乎总被用于该命令，与之相反的关键字“out”用于限制该路由器通过Telnet方式访问外部目的地，该命令中很少使用。

此时，只有网络10.0.0.0(子网掩码为：255.0.0.0)中的主机才可以通过Telnet方式登录到路由器上。

2)对路由器R的端口f0/1设置ACL

(3）配置Radius服务器

Radius服务器可以利用Windows 2000 Server系统中的IAS(Internet Authentication Service)组件来实现。IAS可以对连接进行集中的身份认证、授权以及记账，使网络管理员可以集中管理远程访问权限和连接属性。

1)Radius服务器配置

(1)添加客户端

在“管理工具”中打开“Internet验证服务”控制台，在其中新建客户端，可以取名为“myClient”。客户端地址为：192.168.0.10，共享密钥可以设置为：123456。

(2)设置远程访问策略

在IAS控制台中，设置远程访问策略“如果启用拨人许可，就允许访问”的属性。在属性对话框中针对“如果用户符合上面的条件”选择“授予远程访问权限”单选框;单击“编辑配置文件”按钮，在弹出对话框中选择“身份认证”选项卡;选中“加密身份认证(CHAP)”和“未加密的身份认证(PAP、SPAP)”复选框，设置身份验证方法。

2）客户端配置

在路由器上通过Console端口配置AAA客户端，步骤如下：

4 结语

介绍基于路由器的主要安全技术，它们往往是配合使用的，各种安全机制只有协调工作，系统的安全性才会牢固。在信息化高速发展的今天，为了保证高效的网络安全，加强推进路由器安全机制、安全协议与算法的研究是至关重要的。

参考文献

[1]戴英侠.计算机网络安全[M].北京:清华大学出版社,2005.

[2]魏亮.路由器原理与应用[M].北京:人民邮电出版社,2005.