路由器的原理和分析畢業(yè)論文

姓名專業(yè)： 班級(jí)：題目路由器的原理和分析設(shè)計(jì)任務(wù)目錄TOC\o"1-5"\h\z摘要 3前言 4\o"CurrentDocument"第一章緒論 5背景知識(shí)介紹 5路由器的簡述 5\o"CurrentDocument"第二章路由器基本知識(shí) 6\o"CurrentDocument"路由器的定義 6\o"CurrentDocument"路由器的作用 6\o"CurrentDocument"路由器的基本原理 7第三章路由器的應(yīng)用 8\o"CurrentDocument"路由器的工作原理 8\o"CurrentDocument"路由協(xié)議 8\o"CurrentDocument"路由算法 10\o"CurrentDocument"第四章安全配置 12【摘要】隨著網(wǎng)絡(luò)時(shí)代的發(fā)展，電腦用戶的增多，特別是在集團(tuán)內(nèi)部更是明顯，這個(gè)時(shí)候需要一種設(shè)備將各種不同的網(wǎng)段互相連接起來，并且對(duì)這些用戶進(jìn)行一個(gè)安全性的控制，早在40多年前就已經(jīng)出現(xiàn)了對(duì)路由技術(shù)的討論，但是直到80年代路由技術(shù)才逐漸進(jìn)入商業(yè)化的應(yīng)用。路由技術(shù)之所以在問世之初沒有被廣泛使用主要是因?yàn)?0年代之前的網(wǎng)絡(luò)結(jié)構(gòu)都非常簡單，路由技術(shù)沒有用武之地。直到最近十幾年，大規(guī)模的互聯(lián)網(wǎng)絡(luò)才逐漸流行起來，為路由技術(shù)的發(fā)展提供了良好的基礎(chǔ)和平臺(tái)?！娟P(guān)鍵詞】安全控制，安全設(shè)置，路由器的原理，安全協(xié)議前言網(wǎng)絡(luò)，作為當(dāng)今社會(huì)必不可缺少的一個(gè)組成成分，人們的工作生活已經(jīng)完全離不開網(wǎng)絡(luò)。它從20世紀(jì)50年代起步至今已經(jīng)有60年的發(fā)展歷程,在20世紀(jì)50年代以前,因?yàn)橛?jì)算機(jī)主機(jī)相當(dāng)昂貴,而通信線路和通信設(shè)備相對(duì)便宜,為了共享計(jì)算機(jī)主機(jī)資源和進(jìn)行信息的綜合處理,形成了第一代的以單主機(jī)為中心的聯(lián)機(jī)終端系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,到20世紀(jì)60年代中期,計(jì)算機(jī)網(wǎng)絡(luò)不再極限于單計(jì)算機(jī)網(wǎng)絡(luò),許多單計(jì)算機(jī)網(wǎng)絡(luò)相互連接形成了有多個(gè)單主機(jī)系統(tǒng)相連接的計(jì)算機(jī)網(wǎng)絡(luò)。這樣連接起來的計(jì)算機(jī)網(wǎng)絡(luò)體系有兩個(gè)特點(diǎn)：①多個(gè)終端聯(lián)機(jī)系統(tǒng)互聯(lián)，形成了多主機(jī)互聯(lián)網(wǎng)絡(luò)；②網(wǎng)絡(luò)結(jié)構(gòu)體系由主機(jī)到終端變?yōu)橹鳈C(jī)到主機(jī)。后來這樣的計(jì)算機(jī)網(wǎng)絡(luò)體系在慢慢演變,向兩種形式演變,第一種就是把主機(jī)的通信任務(wù)從主機(jī)中分離出來,由專門的CCP（通信控制處理機(jī)）來完成,CCP組成了一個(gè)單獨(dú)的網(wǎng)絡(luò)體系，我們稱它為通信子網(wǎng)，而在通信子網(wǎng)連基礎(chǔ)上接起來的計(jì)算機(jī)主機(jī)和終端則形成了資源子網(wǎng),導(dǎo)致兩層結(jié)構(gòu)體現(xiàn)出現(xiàn).第二種就是通信子網(wǎng)逐規(guī)模漸擴(kuò)大成為社會(huì)公用的計(jì)算機(jī)網(wǎng)絡(luò),原來的CCP成為了公共數(shù)據(jù)通用網(wǎng)信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具。據(jù)不完全統(tǒng)計(jì)，Internet現(xiàn)在遍及186個(gè)國家，容納近60萬個(gè)網(wǎng)絡(luò)，提供了包括600個(gè)大型聯(lián)網(wǎng)圖書館，400個(gè)聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報(bào)紙，50多萬個(gè)Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100萬個(gè)信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。為了讓這些局域網(wǎng)可以互相交換信息，需要一種設(shè)備安全的連接這些局域網(wǎng)廣域網(wǎng)。而路由器的主要作用就是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)的設(shè)備。路由器英文名Router，路由器是互互聯(lián)網(wǎng)絡(luò)的樞紐、〃交通警察〃。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。第一章緒論背景知識(shí)介紹路由器是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的重要組成部分，網(wǎng)絡(luò)的快速發(fā)展對(duì)路由器性能和功能要求不斷提高，路由器體系結(jié)構(gòu)如何適應(yīng)技術(shù)和應(yīng)用發(fā)展的需求，成為了網(wǎng)絡(luò)領(lǐng)域的研究熱點(diǎn)。近年來，雖然研究人員先后提出了主動(dòng)網(wǎng)絡(luò)、可編程網(wǎng)絡(luò)、開放控制式路由器、軟件可擴(kuò)展路由器和面向用戶控制的路由器等多種路由器體系結(jié)構(gòu)，但從總體上講，路由器體系結(jié)構(gòu)技術(shù)進(jìn)展仍不能適應(yīng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，在控制開放性、功能可擴(kuò)展性、規(guī)?？缮炜s性、系統(tǒng)可用性和應(yīng)用感知性等方面仍面臨諸多挑戰(zhàn)。當(dāng)前基于IP協(xié)議的計(jì)算機(jī)網(wǎng)絡(luò)用戶數(shù)量劇增，網(wǎng)絡(luò)流量每六個(gè)月翻一番，比計(jì)算機(jī)CPU速度每18個(gè)月提高一倍還要發(fā)展得快得多。為了使網(wǎng)絡(luò)狀況更加適應(yīng)用戶的需要，作為網(wǎng)絡(luò)核心器件的路由器的不斷升級(jí)換代也就成為大勢所趨。路由器的簡述網(wǎng)絡(luò)的發(fā)展，目前主要是應(yīng)用的多樣化，對(duì)于網(wǎng)絡(luò)流量控制和帶寬管理提出了新的要求，從簡單地針對(duì)IP或端口的帶寬管理到針對(duì)不同應(yīng)用，滿足不同需求的流量控制。通過帶寬管理來改善網(wǎng)絡(luò)狀況，可以采取擴(kuò)大帶寬容量和控制網(wǎng)絡(luò)流量的方法。由于擴(kuò)容的花費(fèi)較大，因此，通過控制網(wǎng)絡(luò)流量來改善網(wǎng)絡(luò)狀況，成為了人們研究的熱點(diǎn)。目前，在局域網(wǎng)接人互聯(lián)網(wǎng)的方式中，接人路由器是其中的一種關(guān)鍵設(shè)備，所以在接人路由器中實(shí)現(xiàn)對(duì)局域網(wǎng)訪問外網(wǎng)的流量進(jìn)行控制是一種較為有效的方法。雖然商業(yè)路由器能夠?qū)崿F(xiàn)流量控制的基本功能，但固件的更新慢，可擴(kuò)展性差，不能適應(yīng)因網(wǎng)絡(luò)應(yīng)用不斷豐富而對(duì)流量控制個(gè)性化實(shí)現(xiàn)的要求。而且，商業(yè)路由器源代碼不公開，因此不能由第三方軟件開發(fā)者開發(fā)特定軟件。而目前出現(xiàn)了多種開源的路由器軟件，可以運(yùn)行在某些特定型號(hào)的路由器上。因此可以在開源路由器軟件的基礎(chǔ)上，根據(jù)需求實(shí)現(xiàn)流量控制功能的定制開發(fā)。第二章路由器基本知識(shí)路由器的定義路由器英文名字叫Router,連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號(hào)的設(shè)備。路由器是互互聯(lián)網(wǎng)絡(luò)的樞紐、"交通警察"。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已經(jīng)成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。路由器的作用路由器的一個(gè)作用是連通不同的網(wǎng)絡(luò)，另一個(gè)作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。從過濾網(wǎng)絡(luò)流量的角度來看，路由器的作用與交換機(jī)和網(wǎng)橋非常相似。但是與工作在網(wǎng)絡(luò)物理層，從物理上劃分網(wǎng)段的交換機(jī)不同，路由器使用專門的軟件協(xié)議從邏輯上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行劃分。例如，一臺(tái)支持IP協(xié)議的路由器可以把網(wǎng)絡(luò)劃分成多個(gè)子網(wǎng)段，只有指向特殊IP地址的網(wǎng)絡(luò)流量才可以通過路由器。對(duì)于每一個(gè)接收到的數(shù)據(jù)包，路由器都會(huì)重新計(jì)算其校驗(yàn)值，并寫入新的物理地址。因此，使用路由器轉(zhuǎn)發(fā)和過濾數(shù)據(jù)的速度往往要比只查看數(shù)據(jù)包物理地址的交換機(jī)慢。但是，對(duì)于那些結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，使用路由器可以提高網(wǎng)絡(luò)的整體效率。路由器的另外一個(gè)明顯優(yōu)勢就是可以自動(dòng)過濾網(wǎng)絡(luò)廣播。從總體上說，在網(wǎng)絡(luò)中添加路由器的整個(gè)安裝過程要比即插即用的交換機(jī)復(fù)雜很多。一般說來，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都應(yīng)采用路由器來完成。路由器的主要工作就是為經(jīng)過路由器的每個(gè)數(shù)據(jù)幀尋找一條最佳傳輸路徑，并將該數(shù)據(jù)有效地傳送到目的站點(diǎn)。由此可見，選擇最佳路徑的策略即路由算法是路由器的關(guān)鍵所在。為了完成；這項(xiàng)工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)——路徑表(RoutingTable)，供路由選擇；時(shí)使用。路徑表中保存著子網(wǎng)的標(biāo)志信息、網(wǎng)上路由器的個(gè)數(shù)和下一個(gè)路由器的名字等內(nèi)容。路徑表可以是由系統(tǒng)管理員固定設(shè)置好的，也可以由系統(tǒng)動(dòng)態(tài)修改，可以由路由器自動(dòng)調(diào)整，也可以由主機(jī)控制。1．靜態(tài)路徑表由系統(tǒng)管理員事先設(shè)置好固定的路徑表稱之為靜態(tài)(static)路徑表，一般是在系統(tǒng)安裝時(shí)就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的，它不會(huì)隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變。2．動(dòng)態(tài)路徑表動(dòng)態(tài)(Dynamic)路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動(dòng)調(diào)整的路徑表。路由器根據(jù)路由選擇協(xié)議(RoutingProtocol)提供的功能，自動(dòng)學(xué)習(xí)和記憶網(wǎng)絡(luò)運(yùn)行情況，在需要時(shí)自動(dòng)計(jì)算數(shù)據(jù)傳輸?shù)淖罴崖窂健?.3路由器的基本原理當(dāng)IP子網(wǎng)中的一臺(tái)主機(jī)發(fā)送IP分組給同一IP子網(wǎng)的另一臺(tái)主機(jī)時(shí)，它將直接把IP分組送到網(wǎng)絡(luò)上，對(duì)方就能收到。而要送給不同IP子網(wǎng)上的主機(jī)時(shí)，它要選擇一個(gè)能到達(dá)目的子網(wǎng)上的路由器，把IP分組送給該路由器，由路由器負(fù)責(zé)把IP分組送到目的地。如果沒有找到這樣的路由器，主機(jī)就把IP分組送給一個(gè)稱為“缺省網(wǎng)關(guān)（defaultgateway）”的路由器上?！叭笔【W(wǎng)關(guān)”是每臺(tái)主機(jī)上的一個(gè)配置參數(shù)，它是接在同一個(gè)網(wǎng)絡(luò)上的某個(gè)路由器端口的IP地址。路由器轉(zhuǎn)發(fā)IP分組時(shí)，只根據(jù)IP分組目的IP地址的網(wǎng)絡(luò)號(hào)部分，選擇合適的端口，把IP分組送出去。同主機(jī)一樣，路由器也要判定端口所接的是否是目的子網(wǎng)，如果是，就直接把分組通過端口送到網(wǎng)絡(luò)上，否則，也要選擇下一個(gè)路由器來傳送分組。路由器也有它的缺省網(wǎng)關(guān)，用來傳送不知道往哪兒送的IP分組。這樣，通過路由器把知道如何傳送的IP分組正確轉(zhuǎn)發(fā)出去，不知道的IP分組送給“缺省網(wǎng)關(guān)”路由器，這樣一級(jí)級(jí)地傳送，IP分組最終將送到目的地，送不到目的地的IP分組則被網(wǎng)絡(luò)丟棄了。目前TCP/IP網(wǎng)絡(luò)，全部是通過路由器互連起來的，Internet就是成千上萬個(gè)IP子網(wǎng)通過路由器互連起來的國際性網(wǎng)絡(luò)。這種網(wǎng)絡(luò)稱為以路由器為基礎(chǔ)的網(wǎng)絡(luò)（routerbasednetwork）,形成了以路由器為節(jié)點(diǎn)的“網(wǎng)間網(wǎng)”。在“網(wǎng)間網(wǎng)”中，路由器不僅負(fù)責(zé)對(duì)IP分組的轉(zhuǎn)發(fā)，還要負(fù)責(zé)與別的路由器進(jìn)行聯(lián)絡(luò)，共同確定“網(wǎng)間網(wǎng)”的路由選擇和維護(hù)路由表。路由動(dòng)作包括兩項(xiàng)基本內(nèi)容：尋徑和轉(zhuǎn)發(fā)。尋徑即判定到達(dá)目的地的最佳路徑，由路由選擇算法來實(shí)現(xiàn)。由于涉及到不同的路由選擇協(xié)議和路由選擇算法，要相對(duì)復(fù)雜一些。為了判定最佳路徑，路由選擇算法必須啟動(dòng)并維護(hù)包含路由信息的路由表，其中路由信息依賴于所用的路由選擇算法而不盡相同。路由選擇算法將收集到的不同信息填入路由表中，根據(jù)路由表可將目的網(wǎng)絡(luò)與下一站（nexthop）的關(guān)系告訴路由器。路由器間互通信息進(jìn)行路由更新，更新維護(hù)路由表使之正確反映網(wǎng)絡(luò)的拓?fù)渥兓⒂陕酚善鞲鶕?jù)量度來決定最佳路徑。這就是路由選擇協(xié)議（routingprotocol），例如路由信息協(xié)議（RIP）、開放式最短路徑優(yōu)先協(xié)議（OSPF）和邊界網(wǎng)關(guān)協(xié)議（BGP）等。轉(zhuǎn)發(fā)即沿尋徑好的最佳路徑傳送信息分組。路由器首先在路由表中查找，判明是否知道如何將分組發(fā)送到下一個(gè)站點(diǎn)（路由器或主機(jī)），如果路由器不知道如何發(fā)送分組，通常將該分組丟棄；否則就根據(jù)路由表的相應(yīng)表項(xiàng)將分組發(fā)送到下一個(gè)站點(diǎn)，如果目的網(wǎng)絡(luò)直接與路由器相連，路由器就把分組直接送到相應(yīng)的端口上。這就是路由轉(zhuǎn)發(fā)協(xié)議（routedprotocol）。路由轉(zhuǎn)發(fā)協(xié)議和路由選擇協(xié)議是相互配合又相互獨(dú)立的概念，前者使用后者維護(hù)的路由表，同時(shí)后者要利用前者提供的功能來發(fā)布路由協(xié)議數(shù)據(jù)分組。下文中提到的路由協(xié)議，除非特別說明，都是指路由選擇協(xié)議，這也是普遍的習(xí)慣。第三章路由器的應(yīng)用路由器的工作原理路由器工作在OSI模型中的第三層，即網(wǎng)絡(luò)層。路由器利用網(wǎng)絡(luò)層定義的“邏輯”上的網(wǎng)絡(luò)地址（即IP地址）來區(qū)別不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)的互連和隔離，保持各個(gè)網(wǎng)絡(luò)的獨(dú)立性。路由器不轉(zhuǎn)發(fā)廣播消息，而把廣播消息限制在各自的網(wǎng)絡(luò)內(nèi)部。發(fā)送到其他網(wǎng)絡(luò)的數(shù)據(jù)先被送到路由器，再由路由器轉(zhuǎn)發(fā)出去。IP路由器只轉(zhuǎn)發(fā)IP分組，把其余的部分擋在網(wǎng)內(nèi)（包括廣播），從而保持各個(gè)網(wǎng)絡(luò)具有相對(duì)的獨(dú)立性，這樣可以組成具有許多網(wǎng)絡(luò)（子網(wǎng)）互連的大型的網(wǎng)絡(luò)。由于是在網(wǎng)絡(luò)層的互連，路由器可方便地連接不同類型的網(wǎng)絡(luò)，只要網(wǎng)絡(luò)層運(yùn)行的是IP協(xié)議，通過路由器就可互連起來。網(wǎng)絡(luò)中的設(shè)備用它們的網(wǎng)絡(luò)地址（TCP/IP網(wǎng)絡(luò)中為IP地址）互相通信。IP地址是與硬件地址無關(guān)的“邏輯”地址。路由器只根據(jù)IP地址來轉(zhuǎn)發(fā)數(shù)據(jù)。IP地址的結(jié)構(gòu)有兩部分，一部分定義網(wǎng)絡(luò)號(hào)，另一部分定義網(wǎng)絡(luò)內(nèi)的主機(jī)號(hào)。目前，在Internet網(wǎng)絡(luò)中采用子網(wǎng)掩碼來確定IP地址中網(wǎng)絡(luò)地址和主機(jī)地址。子網(wǎng)掩碼與IP地址一樣也是32bit,并且兩者是一一對(duì)應(yīng)的，并規(guī)定，子網(wǎng)掩碼中數(shù)字為T”所對(duì)應(yīng)的IP地址中的部分為網(wǎng)絡(luò)號(hào)，為“0”所對(duì)應(yīng)的則為主機(jī)號(hào)。網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)合起來，才構(gòu)成一個(gè)完整的IP地址。同一個(gè)網(wǎng)絡(luò)中的主機(jī)IP地址，其網(wǎng)絡(luò)號(hào)必須是相同的，這個(gè)網(wǎng)絡(luò)稱為IP子網(wǎng)。通信只能在具有相同網(wǎng)絡(luò)號(hào)的IP地址之間進(jìn)行，要與其它IP子網(wǎng)的主機(jī)進(jìn)行通信，則必須經(jīng)過同一網(wǎng)絡(luò)上的某個(gè)路由器或網(wǎng)關(guān)（gateway）出去。不同網(wǎng)絡(luò)號(hào)的IP地址不能直接通信，即使它們接在一起，也不能通信。路由器有多個(gè)端口，用于連接多個(gè)IP子網(wǎng)。每個(gè)端口的IP地址的網(wǎng)絡(luò)號(hào)要求與所連接的IP子網(wǎng)的網(wǎng)絡(luò)號(hào)相同。不同的端口為不同的網(wǎng)絡(luò)號(hào)，對(duì)應(yīng)不同的IP子網(wǎng)，這樣才能使各子網(wǎng)中的主機(jī)通過自己子網(wǎng)的IP地址把要求出去的IP分組送到路由器上。路由協(xié)議典型的路由選擇方式有兩種：靜態(tài)路由和動(dòng)態(tài)路由。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。除非網(wǎng)絡(luò)管理員干預(yù)，否則靜態(tài)路由不會(huì)發(fā)生變化。由于靜態(tài)路由不能對(duì)網(wǎng)絡(luò)的改變作出反映，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由的優(yōu)點(diǎn)是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級(jí)最高。當(dāng)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)。動(dòng)態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時(shí)地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會(huì)重新計(jì)算路由，并發(fā)出新的路由更新信息。這些信息通過各個(gè)網(wǎng)絡(luò)，引起各路由器重新啟動(dòng)其路由算法，并更新各自的路由表以動(dòng)態(tài)地反映網(wǎng)絡(luò)拓?fù)渥兓?。?dòng)態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。當(dāng)然，各種動(dòng)態(tài)路由協(xié)議會(huì)不同程度地占用網(wǎng)絡(luò)帶寬和CPU資源。靜態(tài)路由和動(dòng)態(tài)路由有各自的特點(diǎn)和適用范圍，因此在網(wǎng)絡(luò)中動(dòng)態(tài)路由通常作為靜態(tài)路由的補(bǔ)充。當(dāng)一個(gè)分組在路由器中進(jìn)行尋徑時(shí)，路由器首先查找靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)分組；否則再查找動(dòng)態(tài)路由。根據(jù)是否在一個(gè)自治域內(nèi)部使用，動(dòng)態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。這里的自治域指一個(gè)具有統(tǒng)一管理機(jī)構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)。自治域內(nèi)部采用的路由選擇協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有RIP、OSPF；外部網(wǎng)關(guān)協(xié)議主要用于多個(gè)自治域之間的路由選擇，常用的是BGP和BGP-4。下面分別進(jìn)行簡要介紹:RIP協(xié)議最初是為Xerox網(wǎng)絡(luò)系統(tǒng)的Xeroxpare通用協(xié)議而設(shè)計(jì)的，是Internet中常用的路由協(xié)議。RIP采用距離向量算法，即路由器根據(jù)距離選擇路由，所以也稱為距離向量協(xié)議。路由器收集所有可到達(dá)目的地的不同路徑，并且保存有關(guān)到達(dá)每個(gè)目的地的最少站點(diǎn)數(shù)的路徑信息，除到達(dá)目的地的最佳路徑外，任何其它信息均予以丟棄。同時(shí)路由器也把所收集的路由信息用RIP協(xié)議通知相鄰的其它路由器。這樣，正確的路由信息逐漸擴(kuò)散到了全網(wǎng)。RIP使用非常廣泛，它簡單、可靠，便于配置。但是RIP只適用于小型的同構(gòu)網(wǎng)絡(luò),因?yàn)樗试S的最大站點(diǎn)數(shù)為15，任何超過15個(gè)站點(diǎn)的目的地均被標(biāo)記為不可達(dá)。而且RIP每隔30s—次的路由信息廣播也是造成網(wǎng)絡(luò)的廣播風(fēng)暴的重要原因之一。80年代中期，RIP已不能適應(yīng)大規(guī)模異構(gòu)網(wǎng)絡(luò)的互連，0SPF隨之產(chǎn)生。它是網(wǎng)間工程任務(wù)組織（IETF）的內(nèi)部網(wǎng)關(guān)協(xié)議工作組為IP網(wǎng)絡(luò)而開發(fā)的一種路由協(xié)議。0SPF是一種基于鏈路狀態(tài)的路由協(xié)議，需要每個(gè)路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用0SPF的路由器首先必須收集有關(guān)的鏈路狀態(tài)信息，并根據(jù)一定的算法計(jì)算出到每個(gè)節(jié)點(diǎn)的最短路徑。而基于距離向量的路由協(xié)議僅向其鄰接路由器發(fā)送有關(guān)路由更新信息。與RIP不同，OSPF將一個(gè)自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當(dāng)源和目的地在同一區(qū)時(shí)，采用區(qū)內(nèi)路由選擇；當(dāng)源和目的地在不同區(qū)時(shí)，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開銷，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當(dāng)一個(gè)區(qū)內(nèi)的路由器出了故障時(shí)并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護(hù)帶來方便。BGP是為TCP/IP互聯(lián)網(wǎng)設(shè)計(jì)的外部網(wǎng)關(guān)協(xié)議，用于多個(gè)自治域之間。它既不是基于純粹的鏈路狀態(tài)算法，也不是基于純粹的距離向量算法。它的主要功能是與其它自治域的BGP交換網(wǎng)絡(luò)可達(dá)信息。各個(gè)自治域可以運(yùn)行不同的內(nèi)部網(wǎng)關(guān)協(xié)議。BGP更新信息包括網(wǎng)絡(luò)號(hào)/自治域路徑的成對(duì)信息。自治域路徑包括到達(dá)某個(gè)特定網(wǎng)絡(luò)須經(jīng)過的自治域串，這些更新信息通過TCP傳送出去，以保證傳輸?shù)目煽啃浴榱藵M足Internet日益擴(kuò)大的需要，BGP還在不斷地發(fā)展。在最新的BGp4中，還可以將相似路由合并為一條路由。路由算法路由算法在路由協(xié)議中起著至關(guān)重要的作用，采用何種算法往往決定了最終的尋徑結(jié)果，因此選擇路由算法一定要仔細(xì)。通常需要綜合考慮以下幾個(gè)設(shè)計(jì)目標(biāo)：（1）最優(yōu)化：指路由算法選擇最佳路徑的能力。（2）簡潔性：算法設(shè)計(jì)簡潔，利用最少的軟件和開銷，提供最有效的功能。（3）堅(jiān)固性：路由算法處于非正?；虿豢深A(yù)料的環(huán)境時(shí)，如硬件故障、負(fù)載過高或*作失誤時(shí)，都能正確運(yùn)行。由于路由器分布在網(wǎng)絡(luò)聯(lián)接點(diǎn)上，所以在它們出故障時(shí)會(huì)產(chǎn)生嚴(yán)重后果。最好的路由器算法通常能經(jīng)受時(shí)間的考驗(yàn)，并在各種網(wǎng)絡(luò)環(huán)境下被證實(shí)是可靠的。（4）快速收斂：收斂是在最佳路徑的判斷上所有路由器達(dá)到一致的過程。當(dāng)某個(gè)網(wǎng)絡(luò)事件引起路由可用或不可用時(shí)，路由器就發(fā)出更新信息。路由更新信息遍及整個(gè)網(wǎng)絡(luò)，引發(fā)重新計(jì)算最佳路徑，最終達(dá)到所有路由器一致公認(rèn)的最佳路徑。收斂慢的路由算法會(huì)造成路徑循環(huán)或網(wǎng)絡(luò)中斷。（5）靈活性：路由算法可以快速、準(zhǔn)確地適應(yīng)各種網(wǎng)絡(luò)環(huán)境。例如，某個(gè)網(wǎng)段發(fā)生故障，路由算法要能很快發(fā)現(xiàn)故障，并為使用該網(wǎng)段的所有路由選擇另一條最佳路徑。路由算法按照種類可分為以下幾種：靜態(tài)和動(dòng)態(tài)、單路和多路、平等和分級(jí)、源路由和透明路由、域內(nèi)和域間、鏈路狀態(tài)和距離向量。前面幾種的特點(diǎn)與字面意思基本一致，下面著重介紹鏈路狀態(tài)和距離向量算法。鏈路狀態(tài)算法（也稱最短路徑算法）發(fā)送路由信息到互聯(lián)網(wǎng)上所有的結(jié)點(diǎn)，然而對(duì)于每個(gè)路由器，僅發(fā)送它的路由表中描述了其自身鏈路狀態(tài)的那一部分。距離向量算法（也稱為Bellman-Ford算法）則要求每個(gè)路由器發(fā)送其路由表全部或部分信息，但僅發(fā)送到鄰近結(jié)點(diǎn)上。從本質(zhì)上來說，鏈路狀態(tài)算法將少量更新信息發(fā)送至網(wǎng)絡(luò)各處，而距離向量算法發(fā)送大量更新信息至鄰接路由器。由于鏈路狀態(tài)算法收斂更快，因此它在一定程度上比距離向量算法更不易產(chǎn)生路由循環(huán)。但另一方面，鏈路狀態(tài)算法要求比距離向量算法有更強(qiáng)的CPU能力和更多的內(nèi)存空間，因此鏈路狀態(tài)算法將會(huì)在實(shí)現(xiàn)時(shí)顯得更昂貴一些。除了這些區(qū)別，兩種算法在大多數(shù)環(huán)境下都能很好地運(yùn)行。最后需要指出的是，路由算法使用了許多種不同的度量標(biāo)準(zhǔn)去決定最佳路徑。復(fù)雜的路由算法可能采用多種度量來選擇路由，通過一定的加權(quán)運(yùn)算，將它們合并為單個(gè)的復(fù)合度量、再填入路由表中，作為尋徑的標(biāo)準(zhǔn)。通常所使用的度量有：路徑長度、可靠性、時(shí)延、帶寬、負(fù)載、通信成本等。路由交換算法：1、過程交換：采用集中式CPU處理所有的包，通過共享總線傳到CPU，CPU通過路由查找，再通過總線傳到適當(dāng)?shù)木€路上。2、快速交換：一次路由，多次交換。定義數(shù)據(jù)流：當(dāng)數(shù)據(jù)包的目的網(wǎng)絡(luò)和源網(wǎng)絡(luò)與路由器中已生成的條目相同時(shí)，就直接封裝轉(zhuǎn)發(fā)不經(jīng)過路由。3、基于cef交換：cef是一種沒有路由只有交換的快速交換技術(shù)。在cef中有控制平面和數(shù)據(jù)轉(zhuǎn)發(fā)平面?？刂破矫嬷杏新酚杀砗虯RP表。路由表中包含了路由協(xié)議、計(jì)量、目的地、前綴和下一跳。ARP表包含了IP與MAC。數(shù)據(jù)轉(zhuǎn)發(fā)平面中有FIB表和鄰接關(guān)系表。FIB表包含了地址、前綴和鄰接。鄰接表包含了IP與MAC?？刂破矫媪私饩W(wǎng)絡(luò)拓?fù)湫纬陕酚杀?，并把形成的路由表和ARP表傳到數(shù)據(jù)轉(zhuǎn)發(fā)平面形成FIB與鄰接關(guān)系表。數(shù)據(jù)在經(jīng)過路由器時(shí)查找FIB表，找到相應(yīng)的條目后使用鄰接關(guān)系表相對(duì)應(yīng)的條目進(jìn)行封裝然后轉(zhuǎn)發(fā)出去。這就達(dá)到了快速交換的效果。第四章安全配置路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備之一。它的主要功能就是尋址和路由。提起網(wǎng)絡(luò)安全,我們想到的就是防火墻和防病毒，其實(shí)許多網(wǎng)絡(luò)癱瘓都與路由器有關(guān)，路由器作為互聯(lián)網(wǎng)絡(luò)的中樞，也是網(wǎng)絡(luò)安全的前沿關(guān)口。本文以Cisco路由器為例淺談路由器安全方面的設(shè)置。一、 設(shè)置密碼首先，路由器一般有Consle、Aux和Ethernet口可以登錄到路由器對(duì)它進(jìn)行配置，這為網(wǎng)絡(luò)管理員對(duì)它進(jìn)行管理提供了很大的方便，同時(shí)也給不速之客提供了可乘之機(jī)。為此，首先我們應(yīng)該給相應(yīng)的端口加上密碼。要注意密碼的長度以及數(shù)字、字母、符號(hào)是否相混合，以防止黑客利用口令或默認(rèn)口令進(jìn)行攻擊。具體配置如下：Router(config)#linevty04Router(config-line)#loginRouter(config-line)#passwordxxxxxxxRouter(config)-#lineaux0Router(config-line)#loginRouter(config-line)#passwordxxxxxxxRouter(config)#linecon0Router(config-line)#passwordxxxxxxx其次，對(duì)超級(jí)用戶密碼的設(shè)置應(yīng)防止配置被修改，一般不要用enablepassword命令，該命令存在極大的安全漏洞。我們可以利用enablesecret命令其加密機(jī)制是IOS，采用了MD5散列算法進(jìn)行加密，具體配置如下：Router#conftermRouter(config)#enablesecretxxxxxxx再次，要注意路由器的物理安全，不要讓管理員以外的其他人隨便接近路由器。如果攻擊者物理接觸路由器后，斷電重啟，實(shí)施“密碼修復(fù)流程”，進(jìn)而登錄路由器，就可以完全控制路由器。二、 屏蔽HTTP服務(wù)Telnet為管理員提供了一個(gè)遠(yuǎn)程調(diào)試路由器的工具，但必須限制登錄訪問路由器的主機(jī)或網(wǎng)段?？赏ㄟ^訪問列表的方式來設(shè)置，以保證特定主機(jī)或網(wǎng)段對(duì)VTY(Telnet)端口的訪問控制。其配置如下，建立一個(gè)標(biāo)準(zhǔn)的訪問控制列表(編號(hào)從1到99任意選擇)access-list99permit該訪問列表僅允許以上IP地址的主機(jī)對(duì)路由器進(jìn)行Telnet訪問。注意：創(chuàng)建該列表。必須指定到路由器端口某個(gè)端口上，具體指定方法如下linevtyE04access-class99in以上配置是入站到E0端口的Telnet示例，出站配置采用Out,為了保護(hù)路由器的安全設(shè)置，也可以限制其Telnet訪問的權(quán)限。另外，也可以通過訪問時(shí)間來限制所有端口的登錄訪問情況，在超時(shí)的情況下，將自動(dòng)斷開。現(xiàn)在許多Cisco設(shè)備，都允許使用Web界面來進(jìn)行控制了，這樣可以為初學(xué)者提供方便的管理，但是在方便的背后，卻隱藏了很大的危機(jī)（使用“iphttpserver"命令可以打開HTTP服務(wù)，使用“noiphttpserver”命令可以關(guān)閉HTTP服務(wù)）。如果必須使用HTTP服務(wù)來管理路由器，為安全考慮最好是配合訪問控制列表和AAA認(rèn)證來做。利用相應(yīng)訪問控制列表“iphttpaccess-class"命令，嚴(yán)格過濾允許的IP地址。建議沒有特殊需要，就關(guān)閉HTTP服務(wù)。三、 配置訪問控制列表使用訪問控制列表的目的是為了保護(hù)路由器的安全和優(yōu)化網(wǎng)絡(luò)的流量。訪問列表的作用就是當(dāng)數(shù)據(jù)包經(jīng)過路由器某一個(gè)端口時(shí)，該數(shù)據(jù)包在轉(zhuǎn)發(fā)通過時(shí)，必須先在訪問控制列表里邊查找，如