路由技术应用讲义(mwm).docVIP

1.2 路由技术 近十年来，随着计算机网络规模的不断扩大，大型互联网络（Internet）的迅猛发展，路由技术在网络技术中已逐渐成为关键部分，路由器也随之成为最重要的网络设备。选用何种路由器，如何选用路由协议，是网络建设中最重要的问题之一，它直接关系到了数据传输的完整性，高效性和安全性等问题。 路由器的档次 第一代路由器：接口卡与CPU之间通过内部总线相连，CPU负责所有事务处理，包括路由收集、转发处理、设备管理等。网络接口收到报文后通过内部总线传递给CPU，由CPU完成所有处理后从另一个网络接口传递出去。第一代路由器的代表有Cisco2500系列路由器、华为Quidway R2500系列路由器。 第二代路由器：在网络接口卡上进行一些智能化处理。由于网络用户通常只会访问少数的几个地方，因此可以考虑把少数常用的路由信息采用Cache技术保留在业务接口卡上，这样大多数报文就可以直接通过业务板Cache的路由表进行转发，以减少对总线和CPU的需求。对于Cache中不能找到的报文送交CPU处理。第二代路由器的代表就是Cisco4500系列路由器、华为Quidway R3600系列路由器。 第三代路由器：采用全分布式结构——路由与转发分离的技术，主控板负责整个设备的管理和路由的收集、计算功能，并把根据路由器计算形成的转发表下发到各业务板；各业务板根据转发表独立进行路由转发。另外采用了交换结构，业务板之间的数据转发完全独立于主控板，实现了并行高速处理，使得路由器的处理性能成倍提高。第三代路由器的代表是Cisco7500系列路由器、华为Quidway NetEngine16/18系列路由器。 第四代路由器：网络流量特别是核心网络的流量以指数级增长，传统的基于软件的IP路由器已经无法满足网络发展的需要。采用ASIC实现方式把转发过程的所有细节全部采用硬件方式来实现。第四代路由器的代表是Cisco GSR12000系列和JUNIPPER M40/160系列产品。 第五代路由器：随着各种新技术纷纷出现（如VPN技术、IP-QoS技术、MPLS技术、流量工程技术等）。IP标准也在逐步修改成熟，对高速路由器的业务功能要求也越来越高。基于这些问题，第四代路由器采用ASIC技术所固有的不灵活、业务提供周期长等缺陷也就不可避免地出现了。第五代路由器在硬件体系结构上继承了第四代路由器的成果，在关键的IP业务流程处理上采用了可编程的、专为IP网络设计的网络处理器技术。 Cisco 路由器产品系列 部门级：1600、2500 多媒体：2600、3600 企业级：4000、7200 骨干级：7500 电信运营级：12000 访问服务：5200、5300、5800 路由器选型基本原则 路由器性能及冗余、稳定性 路由器的接口类型 路由器配置的端口数量 路由器支持的标准协议及特性 路由器管理方法的难易程度 路由器的可扩展性 校园网中ACL的应用 ACL 的全称为访问控制列表（Access Control Lists），是 Cisco IOS 所提供的一种访问控制技术。ACL 的全称为访问控制列表（Access Control Lists）,由多条访问表项构成，是一个有序的语句集。 一般的访问表有两种：标准访问表和扩展访问表。 标准访问列表只能对 IP 报文中的源地址进行检查，对匹配的数据包允许或者拒绝通过路由器或者交换机的出口。 扩展访问控制列表在包过滤方面更具有灵活性和可扩充性，除了检查数据包的源地址，目的地址之外，还可以根据数据包的特定协议类型、源端口和目的端口等进行过滤，从而达到访问控制的目的。 ACL 使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。 ACL 可以实现网络流量限制，提高网络性能。 ACL 还提供网络访问的基本安全级别。当一个数据包由接口进入路由器或交换机时，路由器或交换机会检查数据包。 如果一个数据包的报头跟控制列表中的第一个判断语句匹配，那么后面的语句就都被忽略掉，不再进行比较，直接按第一个判断语句对数据包进行处理（通过或则丢弃），否则交给下一个判断语句进行比较，直到匹配成功，如果所有的判断语句都比较完毕，仍然没有匹配的语句，则将该数据包丢弃。 ACL 技术和校园网管理相结合是一项很有前景的技术，它解决了网络管理上的很多难题，使得校园网有了一个更安全、更稳定的运行环境。但是由于 ACL 是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。 因此，要对校园网有一个更完善的管理于防护，还需要和系统级及应用级的访问权限控制以及防