《网络基础学习之十八》主要路由器技术(二)

• 关 键 词：
• tcp/ip
• ipsec
• 专线接入
• 交换技术
• 静态路由

　　二、主要路由器技术

　　路由器技术是融合现代通信技术、计算机技术、网络技术、微电子芯片技术、大规模集成电路技术，光电子技术及光通信技术的核心技术，是衡量一个国家科学技术水平的重要标志。 IP路由技术主要体现在以下几方面：

　　1. 硬件体系结构

　　高速IP路由器通常借鉴ATM方法，采用交*开关方式实现各端口之间的线速 无阻塞互连。高速交*开关技术已经十分成熟，在ATM交换机和高速交行计算机中广泛应用，市场上可直接买到高速交*开关速率就高达50Gbps的设备。

　　2. ASIC技术

　　由于厂商需要降低成本，ASIC技术在路由器中得到了越来越广泛的应用。在路由 器中，要极大地提高速度，首先想到的是ASIC，有的用ASIC做包转发，有的用ASIC查 路由，并且已经有专门用来查找IPv4路由的ASIC芯片商用。一般来说，ASIC只用于已 完全标准化的处理，而网络的结构和协议变化频繁，因此相应地在网络设备这一领域 ，出现了"可编程ASIC"。目前，有两种类型的"可编程ASIC"，一种以3Com公司为 主的FIRE（Flexible Intelligent Routing Engine）芯片为代表。另一种以Vertex Networks的HISC专用芯片为代表，这颗芯片是一颗专门为通信协议处理而设计的CPU， 通过改写微码，可使这颗专用芯片具有同协议的能力。

　　3. 三层交换

　　自从 Ipsilon在1994年推出一次路由再交换IP Switching技术之后，各大公司纷纷推出了 各自专有的三层交换技术，在综合所有三层交换技术优势之后，IETF终于在1998年推 出了性能优越的多协议标记交换（MPLS）。与"一次路由再交换"技术相比，MPLS多 网络结构这一更高层次来考虑三层交换技术，力图一举解决三层交换网络流量管理问 题，目前这一技术的研究仍在进行中。

　　以上所介绍的是路由器硬件方面所采取的技术，在软件方面同样具有许多先进技术，具体如下：

　　1. VPN技术

　　VPN的英文全称就是"Virtual Private Network"，中文名为"虚拟专用网"，它是路由器具有的重要技术之一。VPN是指在公用网络上建立虚拟私有网，可以从不同的角度对VPN进行分类：

　　（1）按接入方式划分：VPN可以分为"专线VPN"和"拨号VPN"以下两类，专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN实现方案。拨号VPN(又称VPDN)是指为利用拨号PSTN或ISDN接入 ISP的用户提供的VPN业务。

　　（2）按协议类型划分：VPN又可以分为"第二层隧道协议"和"第三层隧道协议"两类。第二层隧道协议包括：点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)。 而第三层隧道协议包括：通用路由封装协议(GRE)、IP安全(IPSec)协议。MPLS隧道协议可以看成在第二层和第三层之间。

　　（3）按VPN的发起方式划分：VPN可分为"客户发起VPN"和"服务器发起VPN"两种，客户发起(也称基于客户的)它是VPN服务提供的起始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN客户可见。而服务器发起(也称客户透明方式或基于网络的)是在公司中心部门和ISP处(称为POP)安装VPN软件，客户无须安装任何特殊软件。

　　（4）按目前运营商所开展的类型划分：VPN可分为"拨号VPN"和"虚拟租用线"两类。拨号VPN业务(VPDN)就是第一种划分方式中的VPDN。虚拟租用线(VLL)：是对传统的租用线业务的仿真，以IP网络对租用线进行模拟，而这样一条虚拟租用线两端的用户看来，该虚拟租用线等价于过去的租用线。

　　虚拟专用路由网（VPRN）业务包括两类：一是使用传统的VPN协议，如 IPSec、GRE等实现的VPRN。另外一种是MPLS方式的VPN。路由器的VPN技术解决方案措施主要有以下几种：

　　（1）访问控制的设定

　　路由器的访问控制的设定一般是通过PAP（口令认证协议）和CHAP（高级口令认证协议）两种协议来实现的。PAP要求登录者向目标路由器提供用户名和口令，与其访问列表（Access List）中的信息相符才允许其登录。它虽然提供了一定的安全保障，但用户登录信息在网上无加密传递，易被人窃取。CHAP便应运而生，它把一随机初始值与用户原始登录信息（用户名和口令）经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的，且由于随机初始值每次不同，用户每次的最终登录信息也会不同，即使某一次用户登录信息被窃取，黑客也不能重复使用。需要注意的是，由于各厂商采取各自不同的Hash算法，所以CHAP无互操作性可言。要建立VPN需要VPN两端放置相同品牌路由器。 　
　
　　（2）通信数据加密

　　我们知道数据加密过程中加密位数是一个很重要的参数，它直接关系到解密的难易程度，所以路由器所采用的数据加密技术在加密位数方面非常注重，如其中Intel 9000系列路由器表现最为优异，为一百多位加密，一般都有56位或64位。
　　
　　（3）NAT技术

　　NAT的英文全称为"Network Address Translation"，中文名就叫做"网络地址转换协议"。如同用户登录信息一样，IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递，到达目标路由器后反翻译成合法IP与MAC地址，翻译算法厂商各自有不同标准，不能实现互操作。

　　2. QoS技术

　　QoS的英文全称为"Quality of Service"，中文名为"服务质量"。QoS原来只是在ATM（Asynchronous Transmit Mode）中专用，但利用IP传VOD等多媒体信息的应用越来越多，IP作为一个打包的协议显得有点力不从心。主要体现在：延迟长且不为定值，丢包造成信号不连续且失真大。为解决这些问题，厂商提供了若干解决方案：第一种方案是基于不同对象的优先级，某些设备（多为多媒体应用）发送的数据包可以后到先传。第二种方案基于协议的优先级，用户可定义哪种协议优先级高，可后到先传，Intel和Cisco都支持。第三种方案是做链路整合MLPPP（Multi Link Point to Point Protocol），Cisco支持可通过将连接两点的多条线路做带宽汇聚，从而提高带宽。第四种方案是做资源预留RSVP（Resource Reservation Protocol），它将一部分带宽固定的分给多媒体信号，其它协议无论如何拥挤，也不得占用这部分带宽。这几种解决方案都能有效的提高传输质量。

　　路由器上的QoS可以通过下面几种手段获得：

　　·通过大带宽得到

　　在路由器上除增加接口带宽以外不作任何额外工作来保障QoS。由于数据通信没有相应公认的数学模型作保障，该方法只能粗略地使用经验值作估计。通常认为当带宽利用率到达50％以后就应当扩容，保证接口带宽利用率小于50％。

　　·通过端到端带宽预留实现

　　该方法通过使用RSVP或者类似协议在全网范围内通信的节点间端到端预留带宽。该方法能保证QoS，但是代价太高，通常只在企业网或者私网上运行，在大网公网上无法实现。

　　·通过接入控制、拥塞控制和区分服务等方式得到

　　该方式无法完全保证QoS。这能与增加接口带宽等方式结合使用，在一定程度上提供相对的CoS。

　　·通过MPLS流量工程得到。

　　3. Ipv6技术

　　迅速发展中的互联网将不再是仅仅连接计算机的网络，它将发展成能同电话网、有线电视网类似的信息通信基础设施。因此，正在使用的IP（互联网协议）已经难以胜任，人们迫切希望下一代 IP即IPv6的出现。 　　

　　IPv6是IP的一种版本，在互联网通信协议TCP/IP中，是OSI模型第3层（网络层）的传输协议。它同目前广泛使用的、1974年便提出的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3×109个增加到4.3×1038个。

　　4. 路由器队列管理机制

　　由于路由器是基于分组交换的设备，在每个端口上带宽统计复用，所以路由器必须在端口上维护一个或多个队列，否则路由器无法处理多个数据包同时向同一端口转发以及端口上QoS能力等问题。队列管理算法的好坏直接影响路由器性能、QoS能力以及拥塞管理能力。通常队列管理算法分为基于时标算法、基于轮转算法以及基于优先级队列等。

　　下一篇将介绍路由器硬件的安装与连接，这是非常重要一部分。