多业务路由器

更新时间:2024-10-03 20:30

多业务路由器 Multi-Service Router 多业务路由器为路由器的一种,业界并没有严格标准的定义,多业务路由器也有高中低端之分。通常是指定位于中低端且能支持数据、语音以及安全、WAN优化等特性的All-In-One的路由器产品。需要具有多业务、安全功能、对流量进行控制以及VPN功能时可以选择多业务路由器。

基本简介

多业务路由器也和路由器一样具有路由基本功能,路由器是互联网络中必不可少的网络设备之一,路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。

多业务路由器和一般路由器存在区别,路由器有两大典型功能,即数据通道功能和控制功能,多业务路由器又在网络安全流量控制、VPN组网等方面进行了加强。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。 所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router。

基本功能

多业务路由器是一种多类型、多端口的路由器设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。路由器属于O S I 模型的第三层--网络层。指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。多业务路由器增加了部分OSI模型的部分四层以及四层以上功能,具备一定的业务感知和处理能力,能够提供安全和加密等方面的功能。

第一,网络互连:路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;

第二,数据处理:提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;

第三,网络管理:路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。

所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。 为了完成“路由”的工作,在路由器中保存着各种传输路径的相关数据--路由表(Routing Table),供路由选择时使用。路由表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路由表可以是由系统管理员固定设置好的,也可以由系统动态修改,可以由路由器自动调整,也可以由主机控制。在路由器中涉及到两个有关地址的名字概念,那就是:静态路由表动态路由表。由系统管理员事先设置好固定的路由表称之为静态(static)路由表,一般是在系统安装时就根据网络的配置情况预先设定的,它不会随未来网络结构的改变而改变。动态(Dynamic)路由表是路由器根据网络系统的运行情况而自动调整的路由表。路由器根据路由选择协议(Routing Protocol)提供的功能,自动学习和记忆网络运行情况,在需要时自动计算数据传输的最佳路径。

分类

按性能档次分为高、中、低档路由器。 通常将路由器吞吐量大于40Gbps的路由器称为高档路由器,背吞吐量在25Gbps~40Gbps之间的路由器称为中档路由器,而将低于25Gbps的看作低档路由器。当然这只是一种宏观上的划分标准,各厂家划分并不完全一致,实际上路由器档次的划分不仅是以吞吐量为依据的,是有一个综合指标的。以市场占有率最大的Cisco公司为例,12000系列为高端路由器,7500以下系列路由器为中低端路由器。

从结构上分为“模块化路由器”和“非模块化路由器”。

模块化结构可以灵活地配置路由器,以适应企业不断增加的业务需求,非模块化的就只能提供固定的端口。通常中高端路由器为模块化结构,低端路由器为非模块化结构。

从功能上划分,可将路由器分为“骨干级路由器”,“企业级路由器”和“接入级路由器”。

骨干级路由器是实现企业级网络互连的关键设备,它数据吞吐量较大,非常重要。对骨干级路由器的基本性能要求是高速度和高可靠性。为了获得高可靠性,网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术,从而使得骨干路由器的可靠性一般不成问题。

企业级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量较小,对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量。

接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体。

按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。

网络路由器网络位置有所不同,其主要性能也就有相应的侧重,如中间节点路由器因为要面对各种各样的网络。如何识别这些网络中的各节点呢?靠的就是这些中间节点路由器的MAC地址记忆功能。基于上述原因,选择中间节点路由器时就需要在MAC地址记忆功能更加注重,也就是要求选择缓存更大,MAC地址记忆能力较强的路由器。但是边界路由器由于它可能要同时接受来自许多不同网络路由器发来的数据,所以这就要求这种边界路由器的背板带宽要足够宽,当然这也要与边界路由器所处的网络环境而定。

从性能上可分为“线速路由器”以及“非线速路由器”。

传输介质带宽进行通畅传输,基本上没有间断和延时。通常线速路由器高端路由器,具有非常高的端口带宽和数据转发能力,能以媒体速率转发数据包;中低端路由器是非线速路由器。但是一些新的宽带接入路由器也有线速转发能力。

处理器

与计算机一样,路由器也包含了一个中央处理器,也就是所说的CPU。不同系列和型号的路由器,其中的CPU也不尽相同。Cisco路由器一般采用Motorola 68030和Orion/R4600两种处理器。

无论在中低端路由器还是在高端路由器中,CPU都是路由器的心脏。通常在中低端路由器当中,CPU负责交换路由信息、路由表查找以及转发数据包。在路由器中,CPU的能力直接影响路由器的吞吐量(路由表查找时间)和路由计算能力(影响网络路由收敛时间)。在高端路由器中,通常包转发和查表由ASIC芯片完成,CPU只实现路由协议、计算路由以及分发路由表。由于技术的发展,路由器中许多工作都可以由硬件实现(专用芯片)。CPU性能并不完全反映路由器性能。路由器性能由路由器吞吐量、时延和路由计算能力等指标体现。

内存

路由器中可能有多种内存,例如Flash(闪存)、DRAM(动态内存)等。内存用作存储配置、路由器操作系统、路由协议软件等内容。在中低端路由器中,路由表可能存储在内存中。通常来说路由器内存越大越好(不考虑价格)。但是与CPU能力类似,内存同样不直接反映路由器性能与能力。因为高效的算法与优秀的软件可能大大节约内存。

路由器采用了以下几种不同类型的内存,每种内存以不同方式协助路由器工作。

*只读内存(ROM)

*闪存(FLASH)

*随机存取内存(RAM)

*非易失性RAM(NVRAM)

1.只读内存(ROM) 只读内存(ROM)在Cisco路由器中的功能与计算机中的ROM相似,主要用于系统初始化等功能。ROM中主要包含:

(1)系统加电自检代码(POST),用于检测路由器中各硬件部分是否完好;

(2)系统引导区代码(BootStrap),用于启动路由器并载入IOS操作系统;

(3)备份的IOS操作系统,以便在原有IOS操作系统被删除或破坏时使用。通常,这个IOS比现运行IOS的版本低一些,但却足以使路由器启动和工作。

顾名思义,ROM是只读存储器,不能修改其中存放的代码。如要进行升级,则要替换ROM芯片。

2.闪存(Flash)

闪存(Flash)是可读可写的存储器,在系统重新启动或关机之后仍能保存数据。Flash中存放着当前使用中的IOS。事实上,如果Flash容量足够大,甚至可以存放多个操作系统,这在进行IOS升级时十分有用。当不知道新版IOS是否稳定时,可在升级后仍保留旧版IOS,当出现问题时可迅速退回到旧版操作系统,从而避免长时间的网路故障。

3.非易失性RAM(NVRAM)

非易失性RAM(Nonvolatile RAM)是可读可写的存储器,在系统重新启动或关机之后仍能保存数据。由于NVRAM仅用于保存启动配置文件(Startup-Config),故其容量较小,通常在路由器上只配置32KB~128KB大小的NVRAM。同时,NVRAM的速度较快,成本也比较高。

4.随机存储器(RAM)

RAM也是可读可写的存储器,但它存储的内容在系统重启或关机后将被清除。和计算机中的RAM一样,Cisco路由器中的RAM也是运行期间暂时存放操作系统和数据的存储器,让路由器能迅速访问这些信息。RAM的存取速度优于前面所提到的3种内存的存取速度。

运行期间,RAM中包含路由表项目、ARP缓冲项目、日志项目和队列中排队

代码、IOS操作系统程序和一些临时数据信息。

路由器的类型不同,IOS代码的读取方式也不同。如Cisco 2500系列路由器只在需要时才从Flash中读入部分IOS;而Cisco 4000系列路由器整个IOS必须先全部装入RAM才能运行。因此,前者称为Flash运行设备(Run from Flash),后者称为RAM运行设备(Run from RAM)。

包转发率

包转发率,也称端口吞吐量,是指路由器在某端口进行的数据包转发能力,单位通常使用pps(包每秒)来衡量。一般来讲,低端的路由器包转发率只有几K到几十Kpps,而高端路由器则能达到几十Mpps(百万包每秒)甚至上百Mpps。如果小型办公使用,则选购转发速率较低的低端路由器即可,如果是大中型企业部门应用,就要严格这个指标,建议性能越高越好。

广域网接口

我们知道,路由器不仅能实现局域网之间连接,更重要的应用还是在于局域网与广域网、广域网与广域网之间的相互连接。路由器与广域网连接的接口称之为广域网接口(WAN接口)。路由器中常见的广域网接口有以下几种。

(1)RJ-45端口

(2)AUI端口

(3)高速同步串口

(4)异步串口

(5)ISDN BRI端口

(1)RJ-45端口 RJ-45端口是我们最常见的端口了,它是我们常见的双绞线以太网端口,因为在快速以太网中也主要采用双绞线作为传输介质,所以根据端口的通信速率不同RJ-45端口又可分为10Base-T网RJ-45端口和100Base-TX网RJ-45端口两类。其中10Base-T网的RJ-45 端口在路由器中通常是标识为“ETH”,而100Base-TX 网的RJ-45端口则通常标识为“10/100bTX”,这主要是现在快速以太网路由器产品多数还是采用10/100Mbps带宽自适应的。如图左图所示为10Base-T 网RJ-45端口,而右图所示的为10/100Base-TX网RJ-45端口。其实这两种RJ-45端口仅就端口本身而言是完全一样的,但端口中对应的网络电路结构是不同的,所以也不能随便接。

RJ-45 端口

(2)AUI端口

令牌环网总线型网络中是一种比较常见的端口之一。路由器可通过粗同轴电缆收发器实现与10Base-5网络的连接,但更多的是借助于外接的收发转发器(AUI-to-RJ-45),实现与10Base-T以太网络的连接。当然也可借助于其他类型的收发转发器实现与细同轴电缆(10Base-2)或光缆(10Base-F)的连接。这里所讲的路由器AUI接口主要是用粗同轴电缆作为传输介质的网络进行连接用的,AUI接口示意图如图所示。

AUI端口

(3)高速同步串口

在路由器的广域网帧中继(Frame Relay)、X.25、PSTN(模拟电话线路)等网络连接模式。在企业网之间有时也通过DDN或X.25等广域网连接技术进行专线连接。这种同步端口一般要求速率非常高,因为一般来说通过这种端口所连接的网络的两端都要求实时同步。

(4)异步串口

异步串口(ASYNC)主要是应用于Modem或Modem池的连接,用于实现远程计算机通过公用电话网拨入网络。这种异步端口相对于上面介绍的同步端口来说在速率上要求宽松许多,因为它并不要求网络的两端保持实时同步,只要求能连续即可。所以我们在上网时所看到的并不一定就是网站上实时的内容,但这并不重要,因为毕竟这种延时是非常小的,重要的是在浏览网页时能够保持网页正常的下载。

(5)ISDN BRI端口

ISDN BRI端口用于ISDN线路通过路由器实现与Internet或其他远程网络的连接,用于目前的大多数双绞线铜线电话线。ISDN BRI的三个通道总带宽为144 kbps。其中两个通道称为B(荷载Bearer)通道,速率为64 kbps,用于承载声音、影像和数据通信。第三个通道是D(数据)通道,是16 kbps信号通道,用于告诉公用交换电话网如何处理每个B通道。ISDN有两种速率连接端口,一种是ISDN BRI(基本速率接口),另一种是ISDN PRI(基群速率接口),基于T1(23B+D)或者E1(30B+D),总速率分别为1.544Mbps或2.048Mbps。ISDN BRI端口是采用RJ-45标准,与ISDN NT1的连接使用RJ-45-to-RJ-45直通线。如图所示为ISDN BRI端口。

ISDN BRI端口

路由协议

路由协议作为TCP/IP协议族中重要成员之一,其选路过程实现的好坏会影响整个Internet网络的效率。按应用范围的不同,路由协议可分为两类:在一个AS(Autonomous System,自治系统,指一个互连网络,就是把整个Internet划分为许多较小的网络单位,这些小的网络有权自主地决定在本系统中应采用何种路由选择协议)内的路由协议称为内部网关协议(interior gateway protocol),AS之间的路由协议称为外部网关协议(exterior gateway protocol)。这里网关是路由器的旧称。现在正在使用的内部网关路由协议有以下几种:RIP-1,RIP-2,IGRP,EIGRP,IS-IS和OSPF。其中前4种路由协议采用的是距离向量算法,IS-IS和OSPF采用的是链路状态算法。对于小型网络,采用基于距离向量算法的路由协议易于配置和管理,且应用较为广泛,但在面对大型网络时,不但其固有的环路问题变得更难解决,所占用的带宽也迅速增长,以至于网络无法承受。因此对于大型网络,采用链路状态算法的IS-IS和OSPF较为有效,并且得到了广泛的应用。IS-IS与OSPF在质量和性能上的差别并不大,但OSPF更适用于IP,较IS-IS更具有活力。IETF始终在致力于OSPF的改进工作,其修改节奏要比IS-IS快得多。这使得OSPF正在成为应用广泛的一种路由协议。现在,不论是传统的路由器设计,还是即将成为标准的MPLS(多协议标记交换),均将OSPF视为必不可少的路由协议。

外部网关协议最初采用的是EGP。EGP是为一个简单的树形拓扑结构设计的,随着越来越多的用户和网络加入Internet,给EGP带来了很多的局限性。为了摆脱EGP的局限性,IETF边界网关协议工作组制定了标准的边界网关协议--BGP。

RIP协议

OSPF协议

BGP协议

IGRP协议

EIGRP协议

ES-IS和IS-IS协议

1、RIP协议

RIP是路由信息协议(Routing Information Protocol)的缩写,采用距离向量算法,是当今应用最为广泛的内部网关协议。在默认情况下,RIP使用一种非常简单的度量制度:距离就是通往目的站点所需经过的链路数,取值为1~15,数值16表示无穷大。RIP进程使用UDP的520端口来发送和接收RIP分组。RIP分组每隔30s以广播的形式发送一次,为了防止出现“广播风暴”,其后续的的分组将做随机延时后发送。在RIP中,如果一个路由在180s内未被刷,则相应的距离就被设定成无穷大,并从路由表中删除该表项。RIP分组分为两种:请求分组和相应分组。

RIP-1被提出较早,其中有许多缺陷。为了改善RIP-1的不足,在RFC1388中提出了改进的RIP-2,并在RFC 1723和RFC 2453中进行了修订。RIP-2定义了一套有效的改进方案,新的RIP-2支持子网路由选择,支持CIDR,支持组播,并提供了验证机制。

随着OSPF和IS-IS的出现,许多人认为RIP已经过时了。但事实上RIP也有它自己的优点。对于小型网络,RIP就所占带宽而言开销小,易于配置、管理和实现,并且RIP还在大量使用中。但RIP也有明显的不足,即当有多个网络时会出现环路问题。为了解决环路问题,IETF提出了分割范围方法,即路由器不可以通过它得知路由的接口去宣告路由。分割范围解决了两个路由器之间的路由环路问题,但不能防止3个或多个路由器形成路由环路。触发更新是解决环路问题的另一方法,它要求路由器在链路发生变化时立即传输它的路由表。这加速了网络的聚合,但容易产生广播泛滥。总之,环路问题的解决需要消耗一定的时间和带宽。若采用RIP协议,其网络内部所经过的链路数不能超过15,这使得RIP协议不适于大型网络。 2、OSPF协议

为了解决RIP协议的缺陷,1988年RFC成立了OSPF工作组,开始着手于OSPF的研究与制定,并于1998年4月在RFC 2328中OSPF协议第二版(OSPFv2)以标准形式出现。OSPF全称为开放式最短路径优先协议(Open Shortest-Path First),OSPF中的O意味着OSPF标准是对公共开放的,而不是封闭的专有路由方案。OSPF采用链路状态协议算法,每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构(AS不划分情况下)。一旦每个路由器有了完整的链路状态数据库,该路由器就可以自己为根,构造最短路径树,然后再根据最短路径构造路由表。对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。OSPF路由器相互间交换信息,但交换的信息不是路由,而是链路状态。OSPF定义了5种分组:Hello分组用于建立和维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。

相对于其它协议,OSPF有许多优点。OSPF支持各种不同鉴别机制(如简单口令验证,MD5加密验证等),并且允许各个系统或区域采用互不相同的鉴别机制;提供负载均衡功能,如果计算出到某个目的站有若干条费用相同的路由,OSPF路由器会把通信流量均匀地分配给这几条路由,沿这几条路由把该分组发送出去;在一个自治系统内可划分出若干个区域,每个区域根据自己的拓扑结构计算最短路径,这减少了OSPF路由实现的工作量;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持CIDR(无类型域间路由)地址。

OSPF的不足之处就是协议本身庞大复杂,实现起来较RIP困难。

3、BGP协议

RFC1771对BGP的最新版本BGP-4进行了详尽的介绍。BGP用来在AS之间实现网络可达信息的交换,整个交换过程要求建立在可靠的传输连接基础上来实现。这样做有许多优点,BGP可以将所有的差错控制功能交给传输协议来处理,而其本身就变得简单多了。BGP使用TCP作为其传输协议,缺省端口号为179。与EGP相比,BGP有许多不同之处,其最重要的革新就是其采用路径向量的概念和对CIDR技术的支持。路径向量中记录了路由所经路径上所有AS的列表,这样可以有效地检测并避免复杂拓扑结构中可能出现的环路问题;对CIDR的支持,减少了路由表项,从而加快了选路速度,也减少了路由器间所要交换的路由信息。另外,BGP一旦与其他BGP路由器建立对等关系,其仅在最初的初始化过程中交换整个路由表,此后只有当自身路由表发生改变时,BGP才会产生更新报文发送给其它路由器,且该报文中仅包含那些发生改变的路由,这样不但减少了路由器的计算量,而且节省了BGP所占带宽

BGP有4种分组类型:打开分组用来建立连接;更新分组用来通告可达路由和撤销无效路由;周期性地发送存活分组,以确保连接的有效性;当检测到一个差错时,发送通告分组。

4、IGRP协议

内部网关路由协议(IGRP:Interior Gateway Routing Protocol)是一种在自治系统(AS:autonomous system)中提供路由选择功能的路由协议。在上世纪80年代中期,最常用的内部路由协是路由信息协议(RIP)。尽管 RIP 对于实现小型或中型同机种互联网络的路由选择是非常有用的,但是随着网络的不断发展,其受到的限制也越加明显。思科路由器的实用性和 IGRP 的强大功能性,使得众多小型互联网络组织采用 IGRP 取代了 RIP。早在上世纪90年代,思科就推出了增强的 IGRP,进一步提高了 IGRP 的操作效率。

IGRP 是一种距离向量(Distance Vector)内部网关协议(IGP)。距离向量路由选择协议采用数学上的距离标准计算路径大小,该标准就是距离向量。距离向量路由选择协议通常与链路状态路由选择协议(Link-State Routing Protocols)相对,这主要在于:距离向量路由选择协议是对互联网中的所有节点发送本地连接信息。

为具有更大的灵活性,IGRP 支持多路径路由选择服务。在循环(Round Robin)方式下,两条同等带宽线路能运行单通信流,如果其中一根线路传输失败,系统会自动切换到另一根线路上。多路径可以是具有不同标准但仍然奏效的多路径线路。例如,一条线路比另一条线路优先3倍(即标准低3级),那么意味着这条路径可以使用3次。只有符合某特定最佳路径范围或在差量范围之内的路径才可以用作多路径。差量(Variance)是网络管理员可以设定的另一个值。

5、EIGRP协议

增强的内部网关路由选择协议(EIGRP:Enhanced Interior Gateway Routing Protocol)是增强版的 IGRP 协议。IGRP 是思科提供的一种用于 TCP/IP 和 OSI 英特网服务的内部网关路由选择协议。它被视为是一种内部网关协议,而作为域内路由选择的一种外部网关协议,它还没有得到普遍应用。

Enhanced IGRP 与其它路由选择协议之间主要区别包括:收敛宽速(Fast Convergence)、支持变长子网掩模(Subnet Mask)、局部更新和多网络层协议。执行 Enhanced IGRP 的路由器存储了所有其相邻路由表,以便于它能快速利用各种选择路径(Alternate Routes)。如果没有合适路径,Enhanced IGRP 查询其邻居以获取所需路径。直到找到合适路径,Enhanced IGRP 查询才会终止,否则一直持续下去。

EIGRP 协议对所有的 EIGRP 路由进行任意掩码长度的路由聚合,从而减少路由信息传输,节省带宽。另外 EIGRP 协议可以通过配置,在任意接口的位边界路由器上支持路由聚合

Enhanced IGRP 不作周期性更新。取而代之,当路径度量标准改变时,Enhanced IGRP 只发送局部更新(Partial Updates)信息。局部更新信息的传输自动受到限制,从而使得只有那些需要信息的路由器才会更新。基于以上这两种性能,因此 Enhanced IGRP 损耗的带宽比 IGRP 少得多。

6、ES-IS和IS-IS协议

在ISO规范中,一个路由器就是一个IS(中间系统),一个主机就是一个ES(末端系统)。提供IS和ES(路由器和主机)之间通信的协议,就是ES-IS;提供IS和IS(路由器和路由器)之间通信的协议也就是路由协议,叫IS-IS。

IS-IS协议属于OSI模型,在网络层中,分为两个子层: Subnetwork Dependent Layer: 它在Subnetwork Independent Layer上把链路状态屏蔽掉了,提供上层一个透明的工作环境。功能: 完成了PDU从连接网络上的接受和发送; 负责Hello PDU的发送接受,完成邻居的发现和链接关系的建立,维护;负责把IP和IS-IS的PDU交给各自的Process进行处理,特性:由于它是负责和地下链路打交道的,所以它决定了IS-IS路由协议支持什么网络类型。广播和点对点两种类型。 使用show clns is-neighbors命令可以查看邻居表:Circuit ID:是一个只有8位bit长度的ID用来确定IS的接口,如果这个接口是连接着一个广播网络,那么它的Circuit ID变成了连接多播网络的DR的System ID+Circuit ID。LAN ID:System ID+Circuit ID,也就是由DR产生分发的一个ID,来表示路由器邻居的特性。

在IS-IS中,DR路由器的选择: 通过接口的优先级,只不过这些优先级分成L1和L2,如果优先级为零,那么这个路由器无权进行DR选举。如果优先级相同,根据System ID来进行选择,最高的成为System ID。

和OSPF不同的是,在广播网络中,IS-IS路由器和所有的邻居都会形成adjancency,而不只和DR形成;没有BDR的概念,如果一个Dr fail了,会在区域中重新选一个出来;而且IS-IS路由协议的DR不是恒定的,如果有一个优先级更高或SystemID更高的路由器加入,会导致整个区域重新进行DR的选择,并重新泛洪LSP报文通知DR的信息。

安全设置

对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

经过恰当的设置,边界路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。

1.修改默认的口令!

据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

2.关闭IP直接广播(IP Directed Broadcast)

你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址

3.如果可能,关闭路由器的HTTP设置

正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。

4.封锁ICMP ping请求

ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。

5.关闭IP源路由

IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

6.确定你的数据包过滤的需求

封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。

这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。

7.建立准许进入和外出的地址过滤政策

在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。

相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。

然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

9.花时间审阅安全记录

审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。

免责声明
隐私政策
用户协议
目录 22
0{{catalogNumber[index]}}. {{item.title}}
{{item.title}}