wrf_1230 发表于 2008-4-8 11:19
网络技术教程--武侠版[align=left][b][font=宋体][size=9pt]网络技术教程---一武侠版[align=left][b][font=宋体][size=9pt]令狐冲十四岁那年进入华山,那年岳琳珊八岁,岳不群白天给两人指点剑*,晚上令狐
冲给小师妹讲故事哄她入睡。后来,岳不群陆续收了劳德诺,陆大有等徒弟,又忙于修
炼紫霞神功,就没有时间指点徒弟。于是他做了一个hub,从此华山派实现教育电子
化,岳不群在网上同时给每个徒弟授课,这种方*很快在五岳剑派内部推广。为了在五
岳剑派之间互连,嵩山派掌门左冷禅研制出路由器,使得五岳剑派之间可以互联互通。
令狐冲晚上就通过网络给小师妹讲故事。
很快,岳琳珊已经十六岁,变成了一个亭亭玉立的小姑娘了。令狐冲发现自己的目光总
是不由自主的在小师妹身上停留,每次和小师妹在一起的时候,总能听到自己强烈的心
跳声,经过了一段时间的茶饭不思后,终于有一天晚上,令狐冲在网上给小师妹发了一
首情意绵绵的诗:你是风儿我是沙,你是蜜蜂我是花,你是梳子我是头发,你是牙膏我
是牙刷。
第二天,华山派开例会,令狐冲怀着忐率不按的心情来到了会议室,发现小师妹红着脸
躲在师父后面,而其它的师弟都在偷偷朝自己笑,开完会,一个调皮的师弟就过来叫牙
刷师兄,赶紧蒙面逃走。问陆大有,才知道是劳德诺用一个叫netxray的工具把自己在
网上的大作全抓了出来。令狐冲悔恨万分,于是,闭门研究rfc,成功的研制出
lanswitch。它能够识别设备mac地址,这样,令狐冲发送给小师妹的数据只有她一个人
能够收到。令狐冲晚上可以在网上放心的给小师妹讲故事,偶尔手痒还能敲几句平时心
里想又说不出口的话来过瘾,然后,红着脸想象小师妹看到后的表情。
lanswitch是二层交换设备,它可以理解二层网络协议地址mac地址。二层交换机在*作
过程中不断的收集资料去建立它本身的地址表,这个表相当简单,主要标明某个mac地
址是在哪个端口上被发现的,所以当交换机接收到一个数据封包时,它会检查该封包的
目的mac地址,核对一下自己的地址表以决定从哪个端口发送出去。而不是象hub那样,
任何一个发方数据都会出现在hub的所有端口上(不管是否为你所需)。这样,lanswitch
在提高效率的同时,也提高了系统的安全性。
接下来的一年,岳不群大量招收门徒,华山派得以极大的壮大,所使用的lanswitch也
多次级连。但门徒中难免鱼龙混杂,当时华山派一批三、四代弟子崇拜万里独行田伯
光,成立了一个田协,经常广播争论比赛八百米还是一千米很合理的问题;第三代弟子
中有一个叫李洪至的,每天在华山派内部广播发*大*;更让令狐冲受不了的是,随着
师父年龄的增大,变得越来越罗嗦,每句话都要重复二十遍,然后在网上广播。令狐冲
想和小师妹,陆大有等人专门使用一个广播域,但如果另外使用一个lanswitch的话,
师父肯定不会同意,于是,他修改了lanswitch的软件,把小师妹,陆大有等人和自己
划成一个虚拟网(vlan),其它人使用另外的vlan,广播包只在vlan内发送,vlan间通过
路由器连接。岳不群也深受田协,李洪至其害,但为与左冷禅抗争,用人之际,只能隐
忍,知道了这件事,大为高兴,但仍为令狐冲私自修改软件一事,罚他到思过崖面壁一
年,一年之内不得下山。在华山派内重新使用vlan进行子网划分,分为五个子网,师
父和师娘,小师妹还有林平之在一个vlan,发*功弟子用一个vlan;田协弟子用一个
vlan,其它弟子用一个vlan,而思过崖上也有单独的一个vlan。令狐冲到了思过崖,并
不难过,终于,世界安静了,依靠左冷禅的路由器,令狐冲还可以每天在网上给小师妹
讲故事,聊天。
局域网交换机的引入,使得网络节点间可独享带宽,但是,对于二层广播报文,二层交
换机会在各网络节点上进行广播;同时,对于二层交换机无*识别的mac地址,也必须
在广播域内进行广播。当多个二层交换机级连时,二层交换网络上的所有设备都会收到
广播消息。在一个大型的二层广播域内,大量的广播使二层转发的效率大大减低,为了
避免在大型交换机上进行的广播所引起的广播风暴,需要在一个二层交换网络内进一步
划分为多个虚拟网(vlan)。在一个虚拟网(vlan)内,由一个工作站发出的信息只能发送
到具有相同虚拟网号(vlanid)的其他站点,其它虚拟网(vlan)的成员收不到这些信息或
广播帧。采用虚拟网(vlan)可以控制网络上的广播风暴和增加网络的安全性。不同虚拟
网(vlan)之间的通信必须通过路由器进行。
但是幸福永远是短暂的,接下来总是无尽的烦恼。随着整个五岳剑派势力的增大,路由
器的速度越来越慢。令狐冲发现每次给小师妹讲故事时,小师妹的回答总是珊珊来吃,
而且话也很少,总是"嗯","噢"或者"我听着呢"。终于有一天,路由器再也ping不通
的,令狐冲三天没有得到小师妹的消息,对着空空的显示屏,再也忍不住,在一个下着
雪的晚上,偷偷下山找小师妹,到了小师妹窗前,发现小师妹正在网上和小林子热烈的
聊天,全没注意一边的自己,内心一阵酸痛,回到思过崖,大病一场。病好后潜心研
究,终于有一天,做出来一个路由器,这时,令狐冲发现,此时华山派已经有了三十个
vlan,路由器必须为每个vlan分配一个接口,接口不够用,而且,两个子网内通过路由
器的交换速度远远低于二层交换的速度。
二层交换机划分虚拟子网后,就出现了一个问题:不同虚拟子网之间的转发需要通过其
它路由器来实现。二层交换机的不同vlan节点间的转发需要通过路由器设备来实现大大
浪费了端口,而路由器的高成本,低效率又使它无*满足大量子网情况下的三层转发需
求,三层交换的概念就在这种情况下被提了出来。
这天晚上,令狐冲心灰意懒,借酒消愁,这时,一个黑影出现在他的面前,原来是一个
道风仙骨的老人,正是风清扬。风清扬听了令狐冲的疑惑,说:路由器接口不够,把路
由器做在lanswitch内部不就可以了;交换速度慢,是因为路由器查找的是网段路由,
而lanswitch直接查mac对应出端口,当然速度快。为什么不能直接根据ip地址查到出端
口呢?令狐冲一听,大为仰慕,但还是不明白,ip地址那么多,而且经常变化,如何能
够直接查到出端口呢?风清扬说:
"你先坐下,让我来问你,华山派有多少弟子?"
"一万六千左右。"
"你全知道他们住哪里吗?"
"不知道。"
"岳不群要你找一个不知道住哪里的人,如何去找?"
"查华山派电话号码查询系统,找到他的地址,然后去找他。"
"如果你回来后再让你找这个人,又如何去找?"
"如何....,查华山派电话号码查询系统,找到他的地址,然后去找他。"
"你不知道到这个人的地址吗?"
"知道,但师父说,华山派的地址那么多,而且经常变化,不用知道地址。"
"岳不群这小子,把徒弟都教成木头了!我问你,你自己认为应该如何找?"
"直接去找!"
"好!你这人还不算太苯。那你知道了一个人的地址后,是不是永远记住了?"
"有的人记住了。其它的都忘了。"
"为什么忘了?"
"因为我记不了那么多人,而且一段时间没有去找他。"
"华山派电话号码查询系统里的地址是如何获得的?"
"我在空旷处大喊一声他的名字,他听到后就会来找我,告诉我他的地址。"
风清扬又问了大把类似脑筋急转弯的问题,然后风清扬说:"现在你明白根据ip地址直
接查出端口的道理了吗?等到你明白这个道理,你自然会做出三层交换机来",令狐冲
仔细回忆了今天的话,终于明白了和二层转发由mac地址对应到出端口的道理一样,三
层转发也可以直接由ip地址对应到出端口,ip地址的路由可以通过arp来学习,同样需
要老化。这样,vlan间转发除第一个包需要通过arp获得主机路由外,其它的报文直接
根据ip地址就能够查找到出端口,转发速度远远高于路由器转发的速度。抬头看时,风
清扬已经走了。
一年后,令狐冲下思过崖,成功的推出quidways8016路由交换机。实现了vlan间的互
通,并且与嵩山,黑木崖等路由器实现互通。
三层交换机是在二层交换机的基础上增加三层交换功能,但它不是简单的二层交换机加
路由器,二而是采用了不同的转发机制。路由器的转发采用最长匹配的方式,实现复
杂,通常使用软件来实现,。而三层交换机的路由查找是针对流的,它利用cache技
术,很容易采用asic实现,因此,可以大大的节约成本,并实现快速转发。
很多文章会提及三层交换机和路由器的区别,一般的比较是三层交换机又快又便宜。这
些话没有错,但场合是汇聚层。我们看到,在汇聚层,面向三层交换机直接下挂的主
机,因为能够获得其主机路由,所以三层交换机能够实现快速查找;而对于通过其它路
由器连接多个子网后到达的主机,三层交换机和路由器的处理是一样的,同样采用最长
匹配的方*查找到下一跳,由下一跳路由器进行转发。
因此,通常的组网方式是在骨干层使用gsr,汇聚层使用三层交换机。当然,对于一个
小型的城域网,也可以直接拿三层交换机组网,不需要gsr。[font=宋体][size=9pt]一、基本路由器的检验命令
show version
show processes
show protocols
show mem
show ip route
show startup-config
show running-config
show flash
show interfaces
二、基本路由配置命令
进入:configterminal/memory/network
配置网络时常采用的命令:copy和load
1.标识:hostname标识名
2.启动标识:banner启动标识
3.接口:interface端口号
4.密码:line06
login
passwd口令
enable password/secret口令
5.接口:
1)配置端口
interface端口号
clockrate时钟速率(64000)/*在串口中配置*/
bandwidth带宽(缺省56)/*在串口中配置*/
media-type介质类型/*在以太网口上*/
early-tokenrelease/*在令牌环网口上*/
ring-speed16/*在令牌环网口上*/
noshutdown
writememory
2)检验端口
show interfaces
show controllers
6.配置环境
1)引导方式
bootsystemflashIOS-filename
bootsystemtftpIOS-filenametftp-address
bootsystemrom
2)配置Register值
config-register0x2102
7.查看邻居路由
show cdp interface
show cdp neighbors[detail]
show cdp entryrouterA
8.IPAddress配置
Ipaddress网络地址掩码
Iphost主机名address
Ipname-server服务器地址1服务器地址2。。。
Ipdomain-lookupnsap
Showhosts
Ping主机名/IP地址
Trace主机名/IP地址
三、IP路由
1.静态路由
iprouting
iproute目标网络号掩码端口号[permanent]
2.缺省路由
ipdefault-network网络号
3.动态路由
1)RIP配置
Routerrip
Network网络号
Showiproute
Showipprotocol
Debugip
2)OSPF配置
Routerospf进程号
Redistribute其它路由协议
Network端口网络反掩码area区域号
Area区域号range网络号掩码
Area区域号default-cost花销值
Ipospfprioritynumber
Ipospfcost花销值
Showipospfdatabase
3)BGP配置
Routerbgp自治域号
Redistribute其它路由协议
Network网络号/*自治域内*/
Aggregate-address网络号掩码summary-only汇总网络
Neighbor相邻网络号remote-as自治域号/*自治域间的网络*/
四、流量控制
1)被动端口
passiveinterface端口号
2)缺省路由
ipdefault网络号/端口网络
3)静态路由
iproute目标网络号掩码端口号
4)ACL过滤表
(全局上)access-list访问号1{permit|deny}反掩码号[established]
access-list访问号2{permit|deny}IP/TCP协议源网络目的网络
操作符参数
(端口上)access-group访问号in|out
distribute-list访问号in|out端口号
4)Null0interface
Iprouteaddressmasknull0
五、广义网配置
1)PPP
Ppppapsent-usename封装
Pppchaphostname
Pppchappassword
2)X.25
encapsulationx25[dce]
x25address
x25map协议地址/*SVC*/
x25pvcpvc号ip地址x25地址/*PVC*/
ipswitching
x25routex.121地址接口x.121映射地址
2)FrameRelay
Frame-relaylocal-dlciIP网络号
Frame-relaymap协议地址
Frame-relaylmi-typeansi
[font=宋体][size=9pt]
[font=宋体][size=9pt]
[align=left][b][font=宋体][size=9pt]二层交换机三层交换机四层交换机的区别[font=宋体][size=9pt][align=left][b][font=宋体][size=9pt]二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地
址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地
址表中。具体的工作流程如下:
(1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道
源MAC地址的机器是连在哪个端口上的;
(2)再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
(3)如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
(4)如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应
时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所
有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和
维护它自己的地址表。
从二层交换机的工作原理可以推知以下三点:
(1)由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,
如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换
机就可以实现线速交换;
(2)学习端口连接的机器的MAC地址,写入地址表,地址表的大小(一般两种表示方式:
一为BEFFERRAM,一为MAC表项数值),地址表大小影响交换机的接入容量;
(3)还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC(Applicati
onspecificIntegratedCircuit)芯片,因此转发速度可以做到非常快。由于各个厂家
采用ASIC不同,直接影响产品性能。
以上三点也是评判二三层交换机性能优劣的主要技术参数,这一点请大家在考虑设备选型
时注意比较。
(二)路由技术
路由器工作在OSI模型的第三层---网络层操作,其工作模式与二层交换相似,但路由器工
作在第三层,这个区别决定了路由和交换在传递包时使用不同的控制信息,实现功能的方
式就不同。工作原理是在路由器的内部也有一个表,这个表所标示的是如果要去某一个地
方,下一步应该向那里走,如果能从路由表中找到数据包下一步往那里走,把链路层信息
加上转发出去;如果不能知道下一步走向那里,则将此包丢弃,然后返回一个信息交给源
地址。
路由技术实质上来说不过两种功能:决定最优路由和转发数据包。路由表中写入各种信息
,由路由算法计算出到达目的地址的最佳路径,然后由相对简单直接的转发机制发送数据
包。接受数据的下一台路由器依照相同的工作方式继续转发,依次类推,直到数据包到达
目的路由器。
而路由表的维护,也有两种不同的方式。一种是路由信息的更新,将部分或者全部的路由
信息公布出去,路由器通过互相学习路由信息,就掌握了全网的拓扑结构,这一类的路由
协议称为距离矢量路由协议;另一种是路由器将自己的链路状态信息进行广播,通过互相
学习掌握全网的路由信息,进而计算出最佳的转发路径,这类路由协议称为链路状态路由
协议。
由于路由器需要做大量的路径计算工作,一般处理器的工作能力直接决定其性能的优劣。
当然这一判断还是对中低端路由器而言,因为高端路由器往往采用分布式处理系统体系设
计。
(三)三层交换技术
近年来的对三层技术的宣传,耳朵都能起茧子,到处都在喊三层技术,有人说这是个非常
新的技术,也有人说,三层交换嘛,不就是路由器和二层交换机的堆叠,也没有什么新的
玩意,事实果真如此吗?下面先来通过一个简单的网络来看看三层交换机的工作过程。
组网比较简单
使用IP的设备A------------------------三层交换机------------------------使用IP的
设备B
比如A要给B发送数据,已知目的IP,那么A就用子网掩码取得网络地址,判断目的IP是否与
自己在同一网段。
如果在同一网段,但不知道转发数据所需的MAC地址,A就发送一个ARP请求,B返回其MAC地
址,A用此MAC封装数据包并发送给交换机,交换机起用二层交换模块,查找MAC地址表,将
数据包转发到相应的端口。
如果目的IP地址显示不是同一网段的,那么A要实现和B的通讯,在流缓存条目中没有对应
MAC地址条目,就将第一个正常数据包发送向一个缺省网关,这个缺省网关一般在操作系统
中已经设好,对应第三层路由模块,所以可见对于不是同一子网的数据,最先在MAC表中放
的是缺省网关的MAC地址;然后就由三层模块接收到此数据包,查询路由表以确定到达B的
路由,将构造一个新的帧头,其中以缺省网关的MAC地址为源MAC地址,以主机B的MAC地址
为目的MAC地址。通过一定的识别触发机制,确立主机A与B的MAC地址及转发端口的对应关
系,并记录进流缓存条目表,以后的A到B的数据,就直接交由二层交换模块完成。这就通
常所说的一次路由多次转发。
以上就是三层交换机工作过程的简单概括,可以看出三层交换的特点:
由硬件结合实现数据的高速转发。
这就不是简单的二层交换机和路由器的叠加,三层路由模块直接叠加在二层交换的高速背
板总线上,突破了传统路由器的接口速率限制,速率可达几十Gbit/s。算上背板带宽,这
些是三层交换机性能的两个重要参数。
简洁的路由软件使路由过程简化。
大部分的数据转发,除了必要的路由选择交由路由软件处理,都是又二层模块高速转发,
路由软件大多都是经过处理的高效优化软件,并不是简单照搬路由器中的软件。
结论
二层交换机用于小型的局域网络。这个就不用多言了,在小型局域网中,广播包影响不大
,二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的
解决方案。
路由器的优点在于接口类型丰富,支持的三层功能强大,路由能力强大,适合用于大型的
网络间的路由,它的优势在于选择最佳路由,负荷分担,链路备份及和其他网络进行路由
信息的交换等等路由器所具有功能。
三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也
是为这个目的服务的。如果把大型网络按照部门,地域等等因素划分成一个个小局域网,
这将导致大量的网际互访,单纯的使用二层交换机不能实现网际互访;如单纯的使用路由
器,由于接口数量有限和路由转发速度慢,将限制网络的速度和网络规模,采用具有路由
功能的快速转发的三层交换机就成为首选。
一般来说,在内网数据流量大,要求快速转发响应的网络中,如全部由三层交换机来做这
个工作,会造成三层交换机负担过重,响应速度受影响,将网间的路由交由路由器去完成
,充分发挥不同设备的优点,不失为一种好的组网策略,当然,前提是客户的腰包很鼓,
不然就退而求其次,让三层交换机也兼为网际互连。
第四层交换的一个简单定义是:它是一种功能,它决定传输不仅仅依据MAC地址(第二层网
桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层)应用端口号。第四层交换功
能就象是虚IP,指向物理服务器。它传输的业务服从的协议多种多样,有HTTP、FTP、NFS
、Telnet或其他协议。这些业务在物理服务器基础上,需要复杂的载量平衡算法。在IP世
界,业务类型由终端TCP或UDP端口地址来决定,在第四层交换中的应用区间则由源端和终
端IP地址、TCP和UDP端口共同决定。
在第四层交换中为每个供搜寻使用的服务器组设立虚IP地址(VIP),每组服务器支持
某种应用。在域名服务器(DNS)中存储的每个应用服务器地址是VIP,而不是真实的服务
器地址。
当某用户申请应用时,一个带有目标服务器组的VIP连接请求(例如一个TCPSYN包)发
给服务器交换机。服务器交换机在组中选取最好的服务器,将终端地址中的VIP用实际服务
器的IP取代,并将连接请求传给服务器。这样,同一区间所有的包由服务器交换机进行映
射,在用户和同一服务器间进行传输。
第四层交换的原理
OSI模型的第四层是传输层。传输层负责端对端通信,即在网络源和目标系统之间协调
通信。在IP协议栈中这是TCP(一种传输协议)和UDP(用户数据包协议)所在的协议层。
在第四层中,TCP和UDP标题包含端口号(portnumber),它们可以唯一区分每个数据包
包含哪些应用协议(例如HTTP、FTP等)。端点系统利用这种信息来区分包中的数据,尤其
是端口号使一个接收端计算机系统能够确定它所收到的IP包类型,并把它交给合适的高层
软件。端口号和设备IP地址的组合通常称作“插口(socket)”。
1和255之间的端口号被保留,他们称为“熟知”端口,也就是说,在所有主机TCP/I
P协议栈实现中,这些端口号是相同的。除了“熟知”端口外,标准UNIX服务分配在256到
1024端口范围,定制的应用一般在1024以上分配端口号.
分配端口号的最近清单可以在RFc1700”AssignedNumbers”上找到。TCP/UDP端
口号提供的附加信息可以为网络交换机所利用,这是第4层交换的基础。
"熟知"端口号举例:
应用协议 端口号
FTP 20(数据)
21(控制)
TELNET 23
SMTP 25
HTTP 80
NNTP 119
NNMP 16
162(SNMPtraps)
TCP/UDP端口号提供的附加信息可以为网络交换机所利用,这是第四层交换的基础。
具有第四层功能的交换机能够起到与服务器相连接的“虚拟IP”(VIP)前端的作用。
每台服务器和支持单一或通用应用的服务器组都配置一个VIP地址。这个VIP地址被发送出
去并在域名系统上注册。
在发出一个服务请求时,第四层交换机通过判定TCP开始,来识别一次会话的开始。然
后它利用复杂的算法来确定处理这个请求的最佳服务器。一旦做出这种决定,交换机就将
会话与一个具体的IP地址联系在一起,并用该服务器真正的IP地址来代替服务器上的VIP地
址。
每台第四层交换机都保存一个与被选择的服务器相配的源IP地址以及源TCP端口相
关联的连接表。然后第四层交换机向这台服务器转发连接请求。所有后续包在客户机与服
务器之间重新影射和转发,直到交换机发现会话为止。
在使用第四层交换的情况下,接入可以与真正的服务器连接在一起来满足用户制定的规
则,诸如使每台服务器上有相等数量的接入或根据不同服务器的容量来分配传输流。
如何选用合适的第四层交换
a,速度
为了在企业网中行之有效,第四层交换必须提供与第三层线速路由器可比拟的性能。也
就是说,第四层交换必须在所有端口以全介质速度操作,即使在多个千兆以太网连接上亦
如此。千兆以太网速度等于以每秒1488000个数据包的最大速度路由(假定最坏的情形,即
所有包为以及网定义的最小尺寸,长64字节)。
b,服务器容量平衡算法
依据所希望的容量平衡间隔尺寸,第四层交换机将应用分配给服务器的算法有很多种,
有简单的检测环路最近的连接、检测环路时延或检测服务器本身的闭环反馈。在所有的预
测中,闭环反馈提供反映服务器现有业务量的最精确的检测。
c,表容量
应注意的是,进行第四层交换的交换机需要有区分和存贮大量发送表项的能力。交换机
在一个企业网的核心时尤其如此。许多第二/三层交换机倾向发送表的大小与网络设备的
数量成正比。对第四层交换机,这个数量必须乘以网络中使用的不同应用协议和会话的数
量。因而发送表的大小随端点设备和应用类型数量的增长而迅速增长。第四层交换机设计
者在设计其产品时需要考虑表的这种增长。大的表容量对制造支持线速发送第四层流量的
高性能交换机至关重要.
d,冗余
第四层交换机内部有支持冗余拓扑结构的功能。在具有双链路的网卡容错连接时,就可
能建立从一个服务器到网卡,链路和服务器交换器的完全冗余系统。[align=left][b][font=宋体][size=9pt]路由原理介绍[font=宋体][size=9pt][align=left][b][font=宋体][size=9pt]路由器(Router)原理介绍[font=宋体][size=9pt]路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
路由器综述
路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。
路由器通常用于节点众多的大型网络环境,它处于ISO/OSI模型的网络层。与交换机和网桥相比,在实现骨干网的互联方面,路由器、特别是高端路由器有着明显的优势。路由器高度的智能化,对各种路由协议、网络协议和网络接口的广泛支持,还有其独具的安全性和访问控制等功能和特点是网桥和交换机等其他互联设备所不具备的。路由器的中低端产品可以用于连接骨干网设备和小规模端点的接入,高端产品可以用于骨干网之间的互联以及骨干网与互联网的连接。特别是对于骨干网的互联和骨干网与互联网的互联互通,不但技术复杂,涉及通信协议、路由协议和众多接口,信息传输速度要求高,而且对网络安全性的要求也比其他场合高得多。因此采用高端路由器作为互联设备,有着其他互联设备不可比拟的优势。
路由器的作用
路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节约网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。
从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。
路由器的类型及特点
互联网各种级别的网络中随处都可见到路由器。接入网络使得家庭和小型企业可以连接到某个互联网服务提供商;企业网中的路由器连接一个校园或企业内成千上万的计算机;骨干网上的路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战。骨干网要求路由器能对少数链路进行高速路由转发。企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简单方便,并提供QoS。
1.接入路由器
接入路由器连接家庭或ISP内的小型企业客户。接入路由器已经开始不只是提供SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担。由于这些趋势,接入路由器将来会支持许多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开电话交换网。
2.企业级路由器
企业或校园级路由器连接许多终端系统,其主要目标是以尽量便宜的方法实现尽可能多的端点互连,并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置,但是它们不支持服务等级。相反,有路由器参与的网络能够将机器分成多个碰撞域,并因此能够控制一个网络的大小。此外,路由器还支持一定的服务等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进行大量的配置工作。因此,企业路由器的成败就在于是否提供大量端口且每端口的造价很低,是否容易配置,是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。
3.骨干级路由器
骨干级路由器实现企业级网络的互联。对它的要求是速度和可靠性,而代价则处于次要地位。硬件可靠性可以采用电话交换网中使用的技术,如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时,输入端口在转发表中查找该包的目的地址以确定其目的端口,当包越短或者当包要发往许多目的端口时,势必增加路由查找的代价。因此,将一些常访问的目的端口放到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。除了性能瓶颈问题,路由器的稳定性也是一个常被忽视的问题。
4.太比特路由器
在未来核心互联网使用的三种主要技术中,光纤和DWDM都已经是很成熟的并且是现成的。如果没有与现有的光纤技术和DWDM技术提供的原始带宽对应的路由器,新的网络基础设施将无法从根本上得到性能的改善,因此开发高性能的骨干交换/路由器(太比特路由器)已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发实验阶段。
路由器技术
路由器的体系结构
从体系结构上看,路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器;第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。
路由器的构成
路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。
输入端口是物理链路和输入包的进口处。端口通常由线卡提供,一块线卡一般支持4、8或16个端口,一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口(称为路由查找),路由查找可以使用一般的硬件来实现,或者通过在每块线卡上嵌入一个微处理器来完成。第三,为了提供QoS(服务质量),端口要对收到的包分成几个预定义的服务级别。第四,端口可能需要运行诸如SLIP(串行线网际协议)和PPP(点对点协议)这样的数据链路级协议或者诸如PPTP(点对点隧道协议)这样的网络级协议。一旦路由查找完成,必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的,则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源(如交换开关)的仲裁协议。
交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、交叉开关和共享存贮器。最简单的开关使用一条总线来连接所有输入和输出端口,总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路,具有N×N个交叉点的交叉开关可以被认为具有2N条总线。如果一个交叉是闭合,输入总线上的数据在输出总线上可用,否则不可用。交叉点的闭合与打开由调度器来控制,因此,调度器限制了交换开关的速度。在共享存贮器路由器中,进来的包被存贮在共享存贮器中,所交换的仅是包的指针,这提高了交换容量,但是,开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番,但存贮器的存取时间每年仅降低5%,这是共享存贮器交换开关的一个固有限制。
输出端口在包被发送到输出链路之前对包存贮,可以实现复杂的调度算法以支持优先级等要求。与输入端口一样,输出端口同样要能支持数据链路层的封装和解封装,以及许多较高级协议。
路由处理器计算转发表实现路由协议,并运行对路由器进行配置和管理的软件。同时,它还处理那些目的地址不在线卡转发表中的包。
VPN
VPN(VirtualPrivateNetwork-虚拟专用网)解决方案是路由器具有的重要功能之一。其解决方案大致如下:
1.访问控制
一般分为PAP(口令认证协议)和CHAP(高级口令认证协议)两种协议。PAP要求登录者向目标路由器提供用户名和口令,与其访问列表(AccessList)中的信息相符才允许其登录。它虽然提供了一定的安全保障,但用户登录信息在网上无加密传递,易被人窃取。CHAP便应运而生,它把一随机初始值与用户原始登录信息(用户名和口令)经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的,且由于随机初始值每次不同,用户每次的最终登录信息也会不同,即使某一次用户登录信息被窃取,黑客也不能重复使用。需要注意的是,由于各厂商采取各自不同的Hash算法,所以CHAP无互操作性可言。要建立VPN需要VPN两端放置相同品牌路由器。
2.数据加密
在加密过程中加密位数是一个很重要的参数,它直接关系到解密的难易程度,其中Intel9000系列路由器表现最为优异,为一百多位加密。
3.NAT(NetworkAddressTranslation-网络地址转换协议)
如同用户登录信息一样,IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递,到达目标路由器后反翻译成合法IP与MAC地址,这一过程有点像CHAP,翻译算法厂商各自有不同标准,不能实现互操作。
wrf_1230 发表于 2008-4-8 11:19
QoS
QoS(QualityofService-服务质量)本来是ATM(AsynchronousTransmitMode)中的专用术语,在IP上原来是不谈QoS的,但利用IP传VOD等多媒体信息的应用越来越多,IP作为一个打包的协议显得有点力不从心:延迟长且不为定值,丢包造成信号不连续且失真大。为解决这些问题,厂商提供了若干解决方案:第一种方案是基于不同对象的优先级,某些设备(多为多媒体应用)发送的数据包可以后到先传。第二种方案基于协议的优先级,用户可定义哪种协议优先级高,可后到先传,Intel和Cisco都支持。第三种方案是做链路整合MLPPP(MultiLinkPointtoPointProtocol),Cisco支持可通过将连接两点的多条线路做带宽汇聚,从而提高带宽。第四种方案是做资源预留RSVP(ResourceReservationProtocol),它将一部分带宽固定的分给多媒体信号,其它协议无论如何拥挤,也不得占用这部分带宽。这几种解决方案都能有效的提高传输质量。
RIP、OSPF和BGP协议
互联网上现在大量运行的路由协议有RIP(RoutingInformationProtocol-路由信息协议)、OSPF(OpenShortestPathFirst--开放式最短路优先)和BGP(BorderGatewayProtocol—边界网关协议)。RIP、OSPF是内部网关协议,适用于单个ISP的统一路由协议的运行,由一个ISP运营的网络称为一个自治系统。BGP是自治系统间的路由协议,是一种外部网关协议。
RIP是推出时间最长的路由协议,也是最简单的路由协议。它主要传递路由信息(路由表)来广播路由。每隔30秒,广播一次路由表,维护相邻路由器的关系,同时根据收到的路由表计算自己的路由表。RIP运行简单,适用于小型网络,互联网上还在部分使用着RIP。
OSPF协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言,而正是因为协议开放性,才使得OSPF具有强大的生命力和广泛的用途。它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表。OSPF是一种相对复杂的路由协议。
总的来说,OSPF、RIP都是自治系统内部的路由协议,适合于单一的ISP(自治系统)使用。一般说来,整个互联网并不适合跑单一的路由协议,因为各ISP有自己的利益,不愿意提供自身网络详细的路由信息。为了保证各ISP利益,标准化组织制定了ISP间的路由协议BGP。
BGP处理各ISP之间的路由传递。其特点是有丰富的路由策略,这是RIP、OSPF等协议无法做到的,因为它们需要全局的信息计算路由表。BGP通过ISP边界的路由器加上一定的策略,选择过滤路由,把RIP、OSPF、BGP等的路由发送到对方。全局范围的、广泛的互联网是BGP处理多个ISP间的路由的实例。BGP的出现,引起了互联网的重大变革,它把多个ISP有机的连接起来,真正成为全球范围内的网络。带来的副作用是互联网的路由爆炸,现在互联网的路由大概是60000条,这还是经过“聚合”后的数字。配置BGP需要对用户需求、网络现状和BGP协议非常了解,还需要非常小心,BGP运行在相对核心的地位,一旦出错,其造成的损失可能会很大!
IPv6技术
迅速发展中的互联网将不再是仅仅连接计算机的网络,它将发展成能同电话网、有线电视网类似的信息通信基础设施。因此,正在使用的IP(互联网协议)已经难以胜任,人们迫切希望下一代IP即IPv6的出现。
IPv6是IP的一种版本,在互联网通信协议TCP/IP中,是OSI模型第3层(网络层)的传输协议。它同目前广泛使用的、1974年便提出的IPv4相比,地址由32位扩充到128位。从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。之所以必须从现行的IPv4改用IPv6,主要有二个原因。
1.由于互联网迅速发展,地址数量已经不够用,这使得网络管理花费的精力和费用令人难以承受。地址的枯竭是促使向拥有128位地址空间过渡的首要原因。
2.随着主机数目的增加,决定数据传输路由的路由表在不断加大。路由器的处理性能跟不上这种迅速增长。长此以往,互联网连接将难以提供稳定的服务。经由IPv6,路由数可以减少一个数量级。
为了使互联网连接许多东西变得简单,而且使用容易,必须采用IPv6。IPv6所以能做到这一点,是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。
IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向,许多路由器厂商目前已经投入很大力量以生产支持IPv6的路由器。当然IPv6也有一些值得注意和效率不高的地方,IPv4/NAT和IPv6将会共存相当长的一段时间。
飞天雪狐 发表于 2008-4-8 15:46
厉害,教程也能做成这样啊
旧坊 发表于 2008-5-20 13:47
强啊~~~~