《Cisco认证-路由器(Router)VPN和IPv6技术分析.docx》由会员分享,可在线阅读,更多相关《Cisco认证-路由器(Router)VPN和IPv6技术分析.docx(10页珍藏版)》请在金锄头文库上搜索。
1、 Cisco认证:路由器(Router)VPN和IPv6技术分析路由器是互联网的主要节点设备。路由器通过路由打算数据的转发。转发策略称为路由选择(routing),这也是路由器名称的由来(router,转发者)。路由器通常用于节点众多的大型网络环境,它处于ISO/OSI模型的网络层。与交换机和网桥相比,在实现骨干网的互联方面,路由器、特殊是高端路由器有着明显的优势。路由器高度的智能化,对各种路由协议、网络协议和网络接口的广泛支持,还有其独具的安全性和访问掌握等功能和特点是网桥和交换机等其他互联设备所不具备的。路由器的中低端产品可以用于连接骨干网设备和小规模端点的接入,高端产品可以用于骨干网之间
2、的互联以及骨干网与互联网的连接。特殊是对于骨干网的互联和骨干网与互联网的互联互通,不但技术简单,涉及通信协议、路由协议和众多接口,信息传输速度要求高,而且对网络安全性的要求也比其他场合高得多。因此采纳高端路由器作为互联设备,有着其他互联设备不行比较的优势。路由器的作用路由器的一个作用是连通不同的网络,另一个作用是选择信息传送的线路。选择通畅快捷的近路,能大大提高通信速度,减轻网络系统通信负荷,节省网络系统资源,提高网络系统畅通率,从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看,路由器的作用与交换机和网桥特别相像。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用特地的
3、软件协议从规律上对整个网络进展划分。例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特别IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是,对于那些构造简单的网络,使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络播送。从总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机简单许多。路由器的类型及特点互联网各种级别的网络中随处都可见到路由器。接入网络使得家庭和小型企业可以连接到某个互联网效劳供应商;企
4、业网中的路由器连接一个校园或企业内成千上万的计算机;骨干网上的路由器终端系统通常是不能直接访问的,它们连接长距离骨干网上的ISP和企业网络。互联网的快速进展无论是对骨干网、企业网还是接入网都带来了不同的挑战。骨干网要求路由器能对少数链路进展高速路由转发。企业级路由器不但要求端口数目多、价格低廉,而且要求配置起来简洁便利,并供应QoS。1.接入路由器接入路由器连接家庭或ISP内的小型企业客户。接入路由器已经开头不只是供应SLIP或PPP连接,还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽,这将进一步增加接入路由器的负担
5、。由于这些趋势,接入路由器将来会支持很多异构和高速端口,并在各个端口能够运行多种协议,同时还要避开电话交换网。2.企业级路由器企业或校园级路由器连接很多终端系统,其主要目标是以尽量廉价的方法实现尽可能多的端点互连,并且进一步要求支持不同的效劳质量。很多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格廉价、易于安装、无需配置,但是它们不支持效劳等级。相反,有路由器参加的网络能够将机器分成多个碰撞域,并因此能够掌握一个网络的大小。此外,路由器还支持肯定的效劳等级,至少允许分成多个优先级别。但是路由器的每端口造价要贵些,并且在能够使用之前要进展大量的配置工作。因此,企业路由器的成
6、败就在于是否供应大量端口且每端口的造价很低,是否简单配置,是否支持QoS。另外还要求企业级路由器有效地支持播送和组播。企业网络还要处理历史遗留的各种LAN技术,支持多种协议,包括IP、IPX和Vine。它们还要支持防火墙、滤以及大量的治理和安全策略以及VLAN。3.骨干级路由器骨干级路由器实现企业级网络的互联。对它的要求是速度和牢靠性,而代价则处于次要地位。硬件牢靠性可以采纳电话交换网中使用的技术,如热备份、双电源、双数据通路等来获得。这些技术对全部骨干路由器而言差不多是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时,输入端口在转发表中查找该包的目的地址
7、以确定其目的端口,当包越短或者当包要发往很多目的端口时,势必增加路由查找的代价。因此,将一些常访问的目的端口放到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器,都存在路由查找的瓶颈问题。除了性能瓶颈问题,路由器的稳定性也是一个常被无视的问题。4.太比特路由器在将来核心互联网使用的三种主要技术中,光纤和DWDM都已经是很成熟的并且是现成的。假如没有与现有的光纤技术和DWDM技术供应的原始带宽对应的路由器,新的网络根底设施将无法从根本上得到性能的改善,因此开发高性能的骨干交换/路由器(太比特路由器)已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发试验阶段。路由器技术路由器
8、的体系构造从体系构造上看,路由器可以分为第一代单总线单CPU构造路由器、其次代单总线主从CPU构造路由器、第三代单总线对称式多CPU构造路由器;第四代多总线多CPU构造路由器、第五代共享内存式构造路由器、第六代穿插开关体系构造路由器和基于机群系统的路由器等多类。路由器的构成路由器具有四个要素:输入端口、输出端口、交换开关和路由处理器。输入端口是物理链路和输入包的进口处。端口通常由线卡供应,一块线卡一般支持4、8或16个端口,一个输入端口具有很多功能。第一个功能是进展数据链路层的封装和解封装。其次个功能是在转发表中查找输入包目的地址从而打算目的端口(称为路由查找),路由查找可以使用一般的硬件来实
9、现,或者通过在每块线卡上嵌入一个微处理器来完成。第三,为了供应QoS(效劳质量),端口要对收到的包分成几个预定义的效劳级别。第四,端口可能需要运行诸如SLIP(串行线网际协议)和PPP(点对点协议)这样的数据链路级协议或者诸如PPTP(点对点隧道协议)这样的网络级协议。一旦路由查找完成,必需用交换开关将包送到其输出端口。假如路由器是输入端加队列的,则有几个输入端共享同一个交换开关。这样输入端口的最终一项功能是参与对公共资源(如交换开关)的仲裁协议。交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、穿插开关和共享存贮器。最简洁的开关使用一条总线来连接全部输入和输出端口,
10、总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。穿插开关通过开关供应多条数据通路,具有NN个穿插点的穿插开关可以被认为具有2N条总线。假如一个穿插是闭合,输入总线上的数据在输出总线上可用,否则不行用。穿插点的闭合与翻开由调度器来掌握,因此,调度器限制了交换开关的速度。在共享存贮器路由器中,进来的包被存贮在共享存贮器中,所交换的仅是包的指针,这提高了交换容量,但是,开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番,但存贮器的存取时间每年仅降低5%,这是共享存贮器交换开关的一个固有限制。输出端口在包被发送到输出链路之前对包存贮,可以实现简单的调度算
11、法以支持优先级等要求。与输入端口一样,输出端口同样要能支持数据链路层的封装和解封装,以及很多较高级协议。路由处理器计算转发表实现路由协议,并运行对路由器进展配置和治理的软件。同时,它还处理那些目的地址不在线卡转发表中的包。VPNVPN(Virtual Private Network-虚拟专用网)解决方案是路由器具有的重要功能之一。其解决方案大致如下:1.访问掌握一般分为PAP(口令认证协议)和CHAP(高级口令认证协议)两种协议。PAP要求登录者向目标路由器供应用户名和口令,与其访问列表(Access List)中的信息相符才允许其登录。它虽然供应了肯定的安全保障,但用户登录信息在网上无加密传
12、递,易被人窃取。CHAP便应运而生,它把一随机初始值与用户原始登录信息(用户名和口令)经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透亮的,且由于随机初始值每次不同,用户每次的最终登录信息也会不同,即使某一次用户登录信息被窃取,黑客也不能重复使用。需要留意的是,由于各厂商实行各自不同的Hash算法,所以CHAP无互*作性可言。要建立VPN需要VPN两端放置一样品牌路由器。2.数据加密在加密过程中加密位数是一个很重要的参数,它直接关系到解密的难易程度,其中Intel 9000系列路由器表现最为优异,为一百多位加密。3.NAT(Network Address Tr
13、anslation-网络地址转换协议)犹如用户登录信息一样,IP和MAC地址在网上无加密传递也很担心全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递,到达目标路由器后反翻译成合法IP与MAC地址,这一过程有点像CHAP,翻译算法厂商各自有不同标准,不能实现互*作。QoSQoS(Quality of Service-效劳质量)原来是ATM(Asynchronous Transmit Mode)中的专用术语,在IP上原来是不谈QoS的,但利用IP传VOD等多媒体信息的应用越来越多,IP作为一个打包的协议显得有点力不从心:延迟长且不为定值,丢包造成信号不连续且失真大。为
14、解决这些问题,厂商供应了若干解决方案:第一种方案是基于不同对象的优先级,某些设备(多为多媒体应用)发送的数据包可以后到先传。其次种方案基于协议的优先级,用户可定义哪种协议优先级高,可后到先传,Intel和Cisco都支持。第三种方案是做链路整合MLPPP(Multi Link Point to Point Protocol),Cisco支持可通过将连接两点的多条线路做带宽会聚,从而提高带宽。第四种方案是做资源预留RSVP(Resource Reservation Protocol),它将一局部带宽固定的分给多媒体信号,其它协议无论如何拥挤,也不得占用这局部带宽。这几种解决方案都能有效的提高传输
15、质量。RIP、OSPF和BGP协议互联网上现在大量运行的路由协议有RIP(Routing Information Protocol-路由信息协议)、OSPF(Open Shortest Path First-开放式最短路优先)和BGP(Border Gateway Protocol边界网关协议)。RIP、OSPF是内部网关协议,适用于单个ISP的统一路由协议的运行,由一个ISP运营的网络称为一个自治系统。BGP是自治系统间的路由协议,是一种外部网关协议。RIP是推出时间最长的路由协议,也是最简洁的路由协议。它主要传递路由信息(路由表)来播送路由。每隔30秒,播送一次路由表,维护相邻路由器的关系,同时依据收到的路由表计算自己的路由表。RIP运行简洁,适用于小型网络,互联网上还在局部使用着RIP。OSPF协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言,而正是由于协议开放性,才使得OSPF具有强大的生命力和广泛的用途。它通过传递链路状态(连接信息)来得到网络信息,维护一张网络有向拓扑图,利用最小生成树算法得到路由表。OSPF是一种相对简单的路由协议。总的来说,OSPF、RIP都是自治系统内部的路由协议,适合于单一的ISP(自治系统)使用。一般说来,整个互联网并不适合跑单一的路由协议,由于各ISP有自己的利益
