路由器知識大（全）

./第一章

網(wǎng)絡(luò)互聯(lián)

網(wǎng)絡(luò)的根本目的非常簡單：方便人們交換所獲得的信息。但是網(wǎng)絡(luò)的應(yīng)用需求非常復(fù)雜：有的用戶希望高帶寬,但并不要求很長的傳輸距離；有的用戶要求很長的距離,但對帶寬要求很低；有的對網(wǎng)絡(luò)的可靠性要求較高,而另外一些則要求較低,等等。這些都導(dǎo)致了網(wǎng)絡(luò)的多樣化,現(xiàn)在比較常見的局域網(wǎng)有以太網(wǎng)、令牌環(huán)和FDDI,廣域網(wǎng)有DDN、X.25、幀中繼、ATM等,這些網(wǎng)絡(luò)分別從不同方面滿足用戶需求。這些網(wǎng)絡(luò)的物理介質(zhì)和協(xié)議都不相同,彼此之間不能直接相互通信。將它們相互連接,使不同網(wǎng)絡(luò)上的用戶之間可以交換信息的技術(shù)就稱為網(wǎng)絡(luò)互聯(lián)技術(shù)。

實現(xiàn)網(wǎng)絡(luò)互聯(lián)的技術(shù)有兩種：協(xié)議轉(zhuǎn)換和隧道技術(shù)。TCP/IP和Novell的IPX是兩種常見的協(xié)議轉(zhuǎn)換技術(shù)。Novell的IPX曾經(jīng)紅火一時,但現(xiàn)在網(wǎng)絡(luò)互聯(lián)中占統(tǒng)治地位的是TCP/IP,風(fēng)靡世界的nternet就是利用TCP/IP作為互聯(lián)協(xié)議的實例。路由器就是一種利用協(xié)議轉(zhuǎn)換技術(shù)將異種網(wǎng)進(jìn)行互聯(lián)的設(shè)備。而現(xiàn)在非常時髦的VPN〔VirtualPrivateNetwork,虛擬私有網(wǎng)則是隧道技術(shù)的代表。第二章

路由器的基本結(jié)構(gòu)和工作原理

路由器實質(zhì)上是一種將網(wǎng)絡(luò)進(jìn)行互聯(lián)的專用計算機(jī),路由器在TCP/IP中又稱為IP網(wǎng)關(guān)。本章擬以TCP/IP技術(shù)為例介紹路由器。大家都知道OSI的七層模型,如圖

TCP/IP層次模型

路由器的軟件結(jié)構(gòu)就是以TCP/IP協(xié)議棧為核心的,下圖是一個簡單的路由器軟件結(jié)構(gòu)。

路由器軟件結(jié)構(gòu)

路由器的協(xié)議轉(zhuǎn)換發(fā)生在IP層。如下圖所示,路由器試圖互聯(lián)局域網(wǎng)和Internet。局域網(wǎng)是以太網(wǎng),運(yùn)行IEEE802.2和IEEE802.3。路由器和接入服務(wù)器之間為專線,而鏈路層協(xié)議為PPP〔PointtoPointProtocol,點對點協(xié)議。以太網(wǎng)上的主機(jī)以及Internet上的接入服務(wù)器的網(wǎng)絡(luò)層協(xié)議都是IP。主機(jī)將IP包封裝在以太網(wǎng)幀中發(fā)向路由器；路由器的以太網(wǎng)口收到主機(jī)發(fā)來的以太網(wǎng)幀后處理幀頭并上交路由器的IP層；IP查看報文頭后將IP包交給廣域網(wǎng)口的PPP；PPP將IP包封裝在PPP幀中并通過專線發(fā)往接入服務(wù)器。上述互聯(lián)原理具有普遍性：某種網(wǎng)絡(luò)設(shè)備要在第n層上互聯(lián)異種網(wǎng)N1和N2,那么N1和N2在第n層及以上的協(xié)議〔若有必須相同。這實際上也是N1和N2能夠互聯(lián)的充要條件。

問題是主機(jī)如何知道把要去Internet的報文交給正確的路由器〔假設(shè)以太網(wǎng)上有多臺主/路由器,而路由器又是如何知道將主機(jī)報文發(fā)給哪個接入服務(wù)器〔假設(shè)路由器有多個廣域網(wǎng)口,且每個廣域網(wǎng)口都和一個接入服務(wù)器相連的呢？答案是依靠尋址和路由機(jī)制。

路由器的工作原理

IP地址被用來標(biāo)識一臺工作在IP層的網(wǎng)絡(luò)設(shè)備。在相互聯(lián)結(jié)的網(wǎng)絡(luò)中IP地址應(yīng)該是唯一的,即一個IP地址不能同時被多個網(wǎng)絡(luò)設(shè)備使用。但是TCP/IP允許一臺網(wǎng)絡(luò)設(shè)備占用多個IP地址,這種設(shè)備稱為"多穴主機(jī)"。路由器就是一種多穴主機(jī),它的每個端口都有一個IP地址,甚至于一個端口可以有多個IP地址。IP地址長度為四個字節(jié)。如下圖所示,TCP/IP將IP地址劃為A、B、C三個基本類〔實際上還有D類和E類,這兩類很少用到：

如圖所示IP地址分為網(wǎng)絡(luò)部分和主機(jī)部分,分別相當(dāng)于電話號碼中的局號和用戶線路號。我們平時使用點分十進(jìn)制的形式來表示IP地址,如我的IP地址是6,129.102是指北研所局域網(wǎng),是個B類網(wǎng),而1.56則是我的主機(jī)號。RFC不推薦把零作為IP地址的某個字節(jié),如。

TCP/IP還允許使用掩碼來將IP地址非標(biāo)準(zhǔn)地〔意指與三種基本類不同劃分為網(wǎng)絡(luò)部分和主機(jī)部分。如果用二進(jìn)制表示掩碼,則IP地址中與掩碼中的"1"相對應(yīng)的比特屬于網(wǎng)絡(luò)部分,與"0"相對應(yīng)的部分屬于主機(jī)部分。掩碼的習(xí)慣表示法也是點分十進(jìn)制。若使用基本劃分方法,則A類網(wǎng)的掩碼是,B類網(wǎng)的掩碼是,C類網(wǎng)的掩碼是。仍然以6〔10000001.1100110.00000001.00111000為例,如果不使用掩碼〔實際是使用基本掩碼,則其網(wǎng)絡(luò)部分為129.102,主機(jī)部分是1.56。如果使用掩碼〔11111111.11111100.00000000.00000000,則其網(wǎng)絡(luò)部分為129.100,主機(jī)部分為2.1.56。掩碼中的"1"可以不是連續(xù)的,但是既沒有必要又費(fèi)勁,RFC也不推薦使用。

IP地址屬于高層地址,物理層只能依靠物理地址進(jìn)行通信。數(shù)據(jù)發(fā)送者怎樣通過接收者的IP地址找到所對應(yīng)的物理地址呢？如果發(fā)送者與接收者在同一個物理網(wǎng)上,則可以通過地址解析協(xié)議〔ARP——AddressResolutionProtocol或手動配置來確定接收者的物理地址。

ARP用于共享式網(wǎng)絡(luò),如以太網(wǎng)。其工作方法如下：IP把要發(fā)送的報文交給以太網(wǎng)鏈路層,同時要告訴鏈路將報文轉(zhuǎn)發(fā)給哪個IP地址〔記做A；鏈路用以太網(wǎng)廣播幀的形式向本網(wǎng)詢問誰是A；A收到ARP請求后回答自己的物理地址〔記作P；發(fā)送者收到ARP響應(yīng)后將IP報文發(fā)給P。設(shè)備可以使用緩存,只有在緩存中查不到的才做ARP請求,收到回答后將學(xué)習(xí)到的物理插入緩存。這樣可以提高ARP的效率。為適應(yīng)網(wǎng)絡(luò)的變化緩存要有時限,超時后緩存失效。

手動配置方法主要用于不能運(yùn)行ARP的非共享式網(wǎng)絡(luò)。例如2501上需要配置Dialermap將IP地址與電話號碼相對應(yīng)。其中的電話號碼就相當(dāng)于電話網(wǎng)中的物理地址。其他,如X.25網(wǎng)、幀中繼網(wǎng)等都需要手動將IP地址與物理地址相匹配。

如果發(fā)送者與接收者不在一個物理網(wǎng)上,則需要路由。

一條路由主要包括目的地址和下一跳兩部分。目的〔記做D可以是一臺主機(jī),也可以某個網(wǎng)絡(luò),還可以是某個網(wǎng)絡(luò)的一個子集。下一跳〔記做N是直譯,英文稱為"next-hop",理解成"下一個驛站"可能更形象。正個路由信息所表示的意思就是要到達(dá)D,先要去N。比如"經(jīng)北京去往美國"就是一條路由。路由的目的是一個復(fù)合成員,由一個IP地址和一個掩碼組成。目的掩碼為全"1"〔55的路由俗稱主機(jī)路由,它的目的地是一臺主機(jī)。如果目的掩碼不是全"1",則該路由是要去往某個網(wǎng)段〔子網(wǎng)。根據(jù)下一跳的性質(zhì)可以將路由分為直接路由和間接路由兩類。如果到達(dá)目的需要經(jīng)過路由器轉(zhuǎn)發(fā),即下一跳是一臺路由器,則該路由稱為間接路由,否則稱為直接路由。理解直接路由器有點困難,舉個例子：路由器的以太網(wǎng)口接在局域網(wǎng)上,路由器啟動后會有一條目的地為該以太網(wǎng)的路由,這條路由是路由器自動產(chǎn)生的,不需要手動配置或運(yùn)行路由協(xié)議來獲取。這條路由就是直接路由。一個更形象的例子就是：我們在北京,要去美國,而北京有直飛美國的飛機(jī),不需要中轉(zhuǎn)。下圖是直接路由和間接路由的對比。

直接路由和間接路由

路由器獲得路由的方式主要有手工配置〔靜態(tài)路由和路由協(xié)議〔動態(tài)路由兩種。靜態(tài)路由主要用于規(guī)模較小、相對穩(wěn)定的網(wǎng)絡(luò)。如果網(wǎng)絡(luò)規(guī)模較大或經(jīng)常變動,如經(jīng)常增減網(wǎng)絡(luò)、主機(jī)等,就需要路由協(xié)議。常見的路由協(xié)議有RIP〔RouteInformationProtocol、IGRP〔InternalGatewayRouteProtocl、EIGRP〔EnhancedIGRP、OSPF〔OpenShortestPathFirst。前三種都使用VD算法,OSPF使用LS算法。IGRP、和EIGRP都是cisco的標(biāo)準(zhǔn)。

第三章

路由器的基本配置方法

所有路由器的《用戶手冊》都會對路由器的配置方法做詳細(xì)的介紹,本文僅介紹一下路由器的一般配置框架。IP地址：路由器上每個要使用的端口都要配置IP地址

線路：專線方式需要配置線路的波特率；撥號方式的配置較復(fù)雜,如果是模擬撥號除需要配置物理屬性〔如異步、modem、波特率等外還要配置IP地址與電話號碼之間的對應(yīng)關(guān)系。

路由：配置好IP地址和線路屬性后就可以配置路由了。若配置動態(tài)路由,只要將動態(tài)路由協(xié)議打開即可。若需要配置靜態(tài)路由,則建議首先畫出組網(wǎng)草圖,標(biāo)出各網(wǎng)絡(luò)的地址及所有相關(guān)路由器的各端口的地址,然后對照草圖逐個設(shè)備配置路由。

Quidway路由器提供的命令行配制接口將配置狀態(tài)分四級。第一級稱為用戶態(tài),僅提供一些簡單的命令。使用enable命令可以從普通用戶態(tài)提升為特權(quán)態(tài)。特權(quán)態(tài)提供一些非配置命令,如打開調(diào)試開關(guān)等。要配置路由首先要使用configure命令進(jìn)入全局配置態(tài)。全局配置態(tài)下可以對路由器的全局參數(shù)進(jìn)行配置,如配置路由等。只有在端口配置態(tài)下才能配置IP地址等端口所特有的屬性。

記住這四種狀態(tài)的名稱和意義不僅可以幫助大家更好地理解路由器的配置命令,還可以在尋求項目組的支持時與開發(fā)人員建立共同語言。四、一些常見的計算機(jī)網(wǎng)絡(luò)概念地址代理的另一個名稱為地址轉(zhuǎn)換〔NAT,它試圖通過建立IP地址與傳輸層端口的映射。

地址代理的工作原理

如圖所示,本地的PC機(jī)LocalPC〔IP地址為6要訪問遠(yuǎn)端的WWW

服務(wù)器Foreignserver〔IP地址為時發(fā)出報文〔,80;6,5000,報文中的成員從左到右依次為：目的地址、目的端口號、源地址、源端口。該報文經(jīng)過路由器的地址轉(zhuǎn)換后變?yōu)椤?80;,10000,地址代理將源地址替換成了路由器的廣域網(wǎng)口地址。為了保持一一對應(yīng),地址代理還修改了源端口號。當(dāng)路由器收到ForeignServer的回文〔,10000;,80時,地址代理做相反的替換后得到報文〔6,5000;,80,這個報文可以被IP正確地發(fā)往LocalPC。為完成這些工作地址代理顯然需要維護(hù)一張IP地址與端口號之間的對應(yīng)表格。

如果外部的ForeignPC〔IP地址為要主動訪問本地的WWW服務(wù)器〔IP地址為,那么它所發(fā)送的報文的目的地址顯然不能直接填,而應(yīng)該填,只有這樣報文才能到達(dá)路由器。那么路由器怎么知道將該報文轉(zhuǎn)交給誰處理呢〔路由器并不能提供WWW服務(wù)？回答是依靠配置。再圖5-1所示的例子中路由器應(yīng)該配置為本地的WWW服務(wù)器。

驗證是PPP的功能之一。PPP提供CHAP〔ChallengeHandshakeAuthentication

Protocol和PAP〔PasswordAuthenticationProtocol兩種驗證方法。PAP使用明文〔不加密傳遞密碼,為單向驗證且僅在協(xié)商開始時驗證一次；CHAP使用密文傳遞密碼,為相互驗證且在傳輸過程中隨時驗證。

防火墻也是網(wǎng)絡(luò)安全措施之一。防火可以分為包過濾和應(yīng)用網(wǎng)關(guān)兩種。包過濾就是檢查報文的源地址、目的地址、源端口及目的端口,將某些報文過濾掉。包過濾防火墻可以實現(xiàn)諸如"禁止IP地址為6的本地微機(jī)被訪問"之類的簡單功能。應(yīng)用層的防火墻則要強(qiáng)大得多,它可以對報文的內(nèi)容進(jìn)行限制。VPN的主要目的是用較少的資金獲取私有網(wǎng)的服務(wù)。VPN使用Internet上的隧道技術(shù),PPP包封裝在UDP包中通過Internet傳送到遠(yuǎn)端。一個公司的分支要訪問遠(yuǎn)端的中心,他可以選擇DDN或是電話網(wǎng)作為連接方式。這