基于路由器的网络技术.docx
《基于路由器的网络技术.docx》由会员分享,可在线阅读,更多相关《基于路由器的网络技术.docx(25页珍藏版)》请在冰豆网上搜索。
基于路由器的网络技术
基于路由器的网络技术
摘要
本文首先介绍了路由器的基本概念和分类方法。
在此基础上,重点对Ipv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QoS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的新技术进行了全面的分析,对这些技术的发展作了高度的概括和总结。
关键字:
路由器 网络 网络技术
Abstract
Inthispaper,thebasicconceptandroutersclassificationmethod.Onthisbasis,focusingonIPv6technology,toimprovethethroughputofroutertechnology,programmableASICtechnology,VPN,QoS,MPLStechnology,multicasttechnology,networkmanagementtechnology,andotherrelevanteightandroutersnewtechnologiesconductedacomprehensiveanalysisofthedevelopmentofthesetechnologiesmadeahighlysummarizedandconcluded.
Keyword:
networkrouternetworktechnology
目录
第一章路由器的基本的活动活动和对方电话fdf概念和分类4
1.1路由器的基本构成部分:
4
1.2路由器的基本功能:
4
1.3路由器的分类4
第二章、IPv6技术6
2.1移动性6
2.2内置的安全特性7
2.3服务质量7
2.4自动配置7
第三章、VPN技术9
3.1VPN的基本要求9
3.2VPN关键技术10
3.2.1Tunnel技术10
3.2.2有关协议的比较11
3.3VPN的安全协议12
3.3.1PPTP-PointtoPointTunnelProtocal(点对点隧道协议)12
3.3.2L2TP-Layer2TunnelingProtocol(第二层隧道协议)12
3.3.3IPSEC—InternetPortocolSecurity(因特网协议安全性)12
3.3.4SOCKs13
前言
当前基于IP协议的计算机网络用户数量剧增,网络流量每六个月翻一番,比计算机CPU速度每18个月提高一倍还要发展得快得多。
为了使网络状况更加适应用户的需要,作为网络核心器件的路由器的不断升级换代也就成为大势所趋。
下面就从路由器的基本概念和分类入手,对基于路由器的网络技术进行一个较为全面的介绍。
第一章路由器的基本的活动活动和对方电话fdf概念和分类
1977年,国际标准化组织(ISO)制定了开放系统互连基本参考模型(OSI),OSI参考模型采用分层结构技术,将整个网络的通信功能分为职责分明的七层,由高到低分别是:
应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。
TCP/IP模型由四个层次组成即:
应用层、传输层、网络层、数据链路层+物理层。
只有对等层才能相互通讯。
一方在某层上的协议是什么,对方在同一层次上也必须采用同一协议。
路由器就工作在TCP/IP模型的第三层(网络层),主要作用是为收到的报文寻找正确的路径,并把它们转发出去。
1.1路由器的基本构成部分:
(1)两个或两个以上的接口(用于连接不同的网络)。
(2)协议至少实现到网络层(只有理解网络层协议才能与网络层通讯)。
(3)至少支持两种以上的子网协议(异种网)。
(4)一组路由协议。
1.2路由器的基本功能:
(1)存储、转发、寻径功能。
(2)路由功能。
包括数据包的路径决策、负载平衡、多媒体传输(多播)等。
(3)智能化网络服务。
包括QoS、访问列表(防火墙)、验证、授权、计费、链路备份、调试、管理等。
1.3路由器的分类
按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。
(1)高端路由器位于WAN骨干网的中心或骨干位置,构成IP网络的核心。
(2)中端路由器适合于有分支机构的中小型企业,一般位于路由中心位置上,互连企业网的各个分支机构,并作为企业网的出口,上行接入高端路由器中。
中档路由器边缘可以接入低端系列路由器。
对于中小型企业来说,中端路由器是其网络的中心。
(3)低端路由器主要针对派出机构,接口少,处理能力要求不高等场合。
(4)专用路由器:
如VPN路由器、加密路由器、语音路由器,通过特殊的附加(软)硬件实现特定功能。
第二章、IPv6技术
IPv6是IP的一种新的版本,它同目前广泛使用的的IPv4相比,地址由32位扩充到128位。
从理论上说,地址的数量由原先的4.3×109个增加到4.3×1038个。
经由IPv6,路由数可以减少一个数量级。
在可预见的很长时期内,它能够为所有可以想象出的网络设备提供一个全球惟一的地址。
128位地址空间包含的准确地址数是340,282,366,920,938,463,463,374,607,431,768,211,456个。
这个数目足够为地球上每一粒沙子提供一个独立的IP地址。
据了解,IPv6能为主机接口提供不同类型的地址配置,包括全球地址(Globally)、全球单播地址(unicast)、区域地址(on-site)、链路本地地址(linklocaladdress)、地区本地地址(sitelocaladdress)、广播地址(Broadcast)、多播群地址(multicastgroupaddress)、任播地址(anycastaddress)、移动地址(Mobility)、家乡地址(homeaddress)和转交地址(care-ofaddress)等。
IPv6还有如下4个特性:
2.1移动性
IPv6对移动数据业务的较强的支持能力是运营商非常看重的。
移动IP需要为每个设备提供一个全球惟一的IP地址。
IPv4没有足够的地址空间可以为在Internet上运行的每个移动终端分配一个这样的地址。
而移动IPv6能够通过简单的扩展,满足大规模移动用户的需求。
这样,它就能在全球范围内解决有关网络和访问技术之间的移动性问题。
移动IPv6在新功能和新服务方面可提供更大的灵活性。
每个移动设备设有一个固定的家乡地址(homeaddress),这个地址与设备当前接入互联网的位置无关。
当设备在家乡以外的地方使用时,可以通过一个转交地址来提供移动节点当前的位置信息。
移动设备每次改变位置,都要将它的转交地址告诉给家乡地址和它所对应的通信节点。
在家乡以外的地方,移动设备传送数据包时,通常在IPv6报头中将转交地址作为源地址。
移动节点在家乡以外的地方发送数据包时,使用一个家乡地址目标选项。
目的是通过这个选项把移动节点的家乡地址告诉给包的接收者。
由于在该数据包里包含家乡地址的选项,接收方通信节点在处理这个包时就可以用这个家乡地址替换包内的转交地址。
因此,发送给移动节点的IPv6包就能够透明地选路到该节点的转交地址处。
对通信节点和转交地址之间的路由进行优化会使网络的利用率更高。
3GPP是移动网络的一个标准化组织,IPv6已经被该组织所采纳,其发布的第五版文件中规定在IP多媒体核心网中将采用IPv6。
这个核心网将处理所有3G网络中的多媒体数据包
2.2内置的安全特性
这一点相对于IPv4有了提高。
IPv6协议内置安全机制,并已经标准化,可支持对企业网的无缝远程访问。
即使终端用户用“实时在线”方式接入企业网,这种安全机制也是可行的;而这种“实时在线”的服务类型在IPv4技术中是无法实现的。
对于从事移动性工作的人员来说,IPv6是IP级企业网存在的保证。
在安全性方面,IPv6同IP安全性(IPSec)机制和服务一致。
除了必须提供网络层这一强制性机制外,IPSec还提供两种服务。
其中,认证报头(AH)用于保证数据的一致性,而封装的安全负载报头(ESP)用于保证数据的保密性和数据的一致性。
在IPv6包中,AH和ESP都是扩展报头,可以同时使用,也可以单独使用其中一个。
此外,作为IPSec的一项重要应用,IPv6还集成了VPN的功能。
2.3服务质量
在这方面,IPv6较之IPv4有了很大的改善。
服务质量(QoS)包含几个方面的内容。
从协议的角度看,IPv6的优点体现在能提供不同水平的服务。
这主要是由于IPv6报头中新增加了字段“业务级别”和“流标记”。
有了它们,在传输过程中,中间的各节点就可以识别和分开处理任何IP地址流。
尽管对这个流标记的准确应用还没有制定出有关标准,但将来它会用于基于服务级别的新计费系统。
另外,在其他方面,IPv6也有助于改进QoS。
这主要表现在支持“实时在线”连接、防止服务中断以及提高网络性能方面。
同时,更好的网络和QoS也会提高客户的期望值和满意度。
2.4自动配置
这是一种即插即用的机制。
IPv6的另一个基本特性是它支持无状态和有状态两种地址的自动配置方式。
无状态地址自动配置方式是获得地址的关键。
在这种方式下,需要配置地址的节点使用一种邻居发现机制获得一个局部连接地址。
一旦得到这个地址之后,它使用另一种即插即用的机制,在没有任何人工干预的情况下,获得一个全球惟一的路由地址。
有状态配置机制如DHCP(动态主机配置协议)需要一个额外的服务器,因此也需要很多额外的操作和维护。
IPv6所以能使互联网连接许多东西变得简单而且使用容易是因为它使用了四种技术:
地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。
IPv6在路由技术上继承了IPv4的有利方面,代表未来路由技术的发展方向。
第三章、VPN技术
VPN(Virtual Private Network)虚拟私有网络就是利用公共网络来构建的私人专用网络。
用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN象企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。
“虚拟”的概念是相对传统私有网络的构建方式而言的。
对于广域网连接,传统的组网方式是通过远程拨号连接来实现的,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。
通过VPN,企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴,企业内部资源享用者只需连入本地ISP的POP(Point Of Presence,接入服务提供点)即可相互通信;而利用传统的WAN组建技术,彼此之间要有专线相连才可以达到同样的目的。
虚拟网组成后,出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源;如果接入服务器的用户身份认证服务器支持漫游,甚至不必拥有本地ISP的上网权限。
这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。
并且企业开设VPN服务所需的设备很少,只需在资源共享处放置一台VPN服务器就可以了。
3.1VPN的基本要求
一般来说,企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制,所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接,不同分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此,最低限度,一个成功的VPN方案应当能够满足以下所有方面的要求:
(1)用户验证
VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。
另外,方案还必须能够提供审计和记费功能,显示何人在何时访问了何种信息。
(2)地址管理
VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。
(3)数据加密
对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息。
(4)密钥管理
VPN方案必须能够生成并更新客户端和服务器的加密密钥。
(5)多协议支持
VPN方案必须支持公共互联网络上普遍使用的基本协议,包括IP,IPX等。
以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求,又能够充分利用遍及世界各地的Internet互联网络的优势。
其它方案,包括安全IP协议(IPSec),虽然不能满足上述全部要求,但是仍然适用于在特定的环境。
本文以下部分将主要集中讨论有关VPN的概念,协议,和部件(component)。
3.2VPN关键技术
3.2.1Tunnel技术
通常,企业网采用保留IP建网。
保留IP网络要使用合法IP网络(例如 Internet),可以通过3种方式进行:
(1)改用合法IP;
(2)设置IP转换网关;
(3)采用Tunnel技术。
其中,Tunnel技术具有相对简单、有效和易于管理的特性,更加适合VPN的要求。
Tunnel技术的另一个优点是,既可以在ISP的节点完成,也可以在用户处完成,或者可以两者合作完成。
而且,现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的Tunnel技术标准。
1.安全技术
能否保证VPN的安全性,是VPN网络能否实现“Private”的关键。
基于Internet的VPN首先要考虑的就是安全问题。
可以采用下列技术保证VPN的安全:
(1)口令保护;
(2)用户认证技术;
(3)一次性口令;
(4)用户权限设置;
(5)在传输中采用加密技术。
采用防火墙,把用户网络中的对外服务部分和对内服务部分隔离开。
2.可用性
由于VPN是建立在Internet的基础上的,所以可以采用下列技术保证VPN的up-time和吞吐量等可用性指标:
(1)采用相应的高速广域网设备和数据压缩技术。
(2)采用路由备份和冗余设计。
3.用户管理/认证和计费
通过NAS和CPE设备提供的LOG文件,包括用户名、流量、连接时间等数据进行计费。
3.2.2有关协议的比较
1.Tunnel技术趋势
主要的协议和技术趋势有3种:
(1)PPTP:
微软和ASCEND在PPP基础上联合开发了PPTP(点对点Tunnel协议,适用于WindowsNT和Netware的client/server环境。
(2)ATMP:
ASCEND开发的ATMP(ASCENDTunnel管理协议),融合了PPTP和GRE,适用于IP、IPX、NetBIOS和NetBEUI环境的数据流。
(3)L2F:
CISCO开发的Layer-2ForwardingTunnel协议。
在其基础上,进一步提出了L2TP(Layer-2TunnelingProtocol),综合了L2F和PPTP的优点,即将成为一项工业标准。
另外,还有DLSw:
IBM的DataLinkSwitching技术,支持SNA到IP的加密,已经成为工业标准。
2.三种主要协议的比较
(1)ATMP与PPTP
ATMP和PPTP都是基于GRE的协议,区别在于:
ATMP不需要Windows/NT服务器,内部代理可以是路由器或者网关。
PPTP需要远端用户运行WindowNT、Window95或PPPclient软件。
内部代理必须是WindowsNTserver。
PPTP支持NetBios,ATMP支持IP/IPX。
PPTP先把PPP数据包加密,然后放在tunnel中传输;ATMP只加密认证信息,其他数据明码传输。
(2)ATMP与L2F
L2F协议在某些方面与ATMP很相似。
最主要的区别在于封装方式不同。
L2F不是基于GRE(RFC1701)的,而是基于PPP的。
使用L2F,远端用户必须运行PPP。
而且,用户端的网关和NAS设备也必须运行L2F。
L2F的优点是不仅支持IP/IPX,还支持Appletalk等协议。
但是,L2F要求每个用户端局域网有专用的网关,费用较高。
(3)PPTP与L2F
PPTP与L2F的区别有下述几个方面:
L2F不是基于GRE(RFC1701)的,而是基于PPP的。
使用L2F,远端用户必须运行PPP。
而且,用户端的网关和NAS设备也必须运行L2F。
与PPTP相比,L2F不仅支持IP/IPX,还支持Appletalk等协议;而且每个用户局域网的前端不需要WindowsNTserver。
但是,L2F不是真正的端到端技术。
PPTP虽然需要WindowsNTserver,但是
GREtunnel以PPPframe形式运行。
PPTPtunnel对GRE作了增强,增加了流控机制,所以,PPTPtunnel容易管理。
PPTP不使用tunnelIdentifier,开销较小。
L2F要求每个用户端局域网有专用的网关,费用较高。
L2F不支持流控,由封装的协议自行管理数据,需要数据重传功能。
PPTP假定的底层媒体是IP,L2F没有假定。
L2F本身支持的用户验证方式较多,PPTP支持的较少。
L2F不支持Callback和ISDN/Modempooling,PPTP支持。
3.3VPN的安全协议
3.3.1PPTP-PointtoPointTunnelProtocal(点对点隧道协议)
这是一个最流行的Internet协议,它提供PPTP客户机与PPTP服务器之间的加密通信,它允许公司使用专用的“隧道”,通过公共Internet来扩展公司的网络。
通过Internet的数据通信,需要对数据流进行封装和加密,PPTP就可以实现这两个功能,从而可以通过Internet实现多功能通信。
这就是说,通过PPTP的封装或“隧道”服务,使非IP网络可以获得进行Internet通信的优点。
但是PPTP会话不可通过代理器进行,PPTP是Microsoft和其它厂家支持的标准,它是PPTP协议的扩展,它可以通过Internet建立多协议VPN。
3.3.2L2TP-Layer2TunnelingProtocol(第二层隧道协议)
除Microsft外,另有一些厂家也做了许多开发工作,PPTP能支持Macintosh和Unix,Cisco的L2F(Layer2Forwarding)就是又一个隧道协议。
Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合,产生一个新的L2TP协议。
PPTP和L2TP十分相似,因为L2TP有一部分就是采用PPTP协议,两个协议都允许客户通过其间的网络建立隧道,L2TP正在由包括Microsoft在内的几家厂商开发。
L2TP还支持信道认证,但它没有规定信道保护的方法。
3.3.3IPSEC—InternetPortocolSecurity(因特网协议安全性)
该协议正在IETF(因特网工程任务组)的指导下开发。
开发这个协议的目的是要解决当前协议中存在的一些缺点,这个标准开发完成最快也要在一年以后。
Microsoft承诺支持L2TP和IPSEC。
IPSEC是由IETFIP安全性工作组定义的协议集,它用于确保网络层之间的安全通信。
该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务,以及如何将IPSEC和L2FP一起使用,但它并未试图将端对端的安全性标准化。
3.3.4SOCKs
SOCKs是一个网络连接的代理协议,它使SOCKs一端的主机完全访问SOCKs;而另一端的主机不要求IP直接可达。
SOCKs能将连接请求进行鉴别和授权,并建立代理连接和传送数据。
SOCKs通常用作网络防火墙,它使SOCKs后面的主机能通过Internet取得完全的访问权,而避免了通过Internet对内部主机进行未授权访问。
目前,有SOCKsV4和SOCKsV5二个版本,SOCKsV5可以处理UDP,而SOCKsV4则不能。
3.4VPN技术比较
VPN技术非常复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。
目前,CPE-basedVPN主要包含两种技术:
隧道技术与安全技术。
3.4.1隧道技术
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。
目前VPN隧道协议有4种:
点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKSv5,它们在OSI七层模型中的位置如表所示。
各协议工作在不同层次,无所谓谁更有优势。
但我们应该注意,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
(1)点到点隧道协议—PPTP
PPTP协议将控制包与数据包分开,控制包采用TCP控制,用于严格的状态查询及信令信息;数据包部分先封装在PPP协议中,然后封装到GREV2协议中。
目前,PPTP协议基本已被淘汰,不再使用在VPN产品中。
(2)第二层隧道协议—L2TP
L2TP是国际标准隧道协议,它结合了PPTP协议以及第二层转发L2F协议的优点,能以隧道方式使PPP包通过各种网络协议,包括ATM、SONET和帧中继。
但是L2TP没有任何加密措施,更多是和IPSec协议结合使用,提供隧道验证。
(3)IPSec协议
IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。
它提供所有在网络层上的数据保护和透明的安全通信。
IPSec协议可以设置成在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧中。
传输模式是为了保护端到端的安全性,不会隐藏路由信息。
1999年底,IETF安全工作组完成了IPSec的扩展,在IPSec协议中加上了ISAKMP协议,其中还包括密钥分配协议IKE和Oakley。
一种趋势是将L2TP和IPSec结合起来:
用L2TP作为隧道协议,用IPSec协议保护数据。
目前,市场上大部分VPN采用这类技术。
表1种隧道协议在OSI七层模型中的位置
优点:
它定义了一套用于保护私有性和完整性的标准协议,可确保运行在TCP/IP协议上的VPN之间的互操作性。
缺点:
除了包过滤外,它没有指定其他访问控制方法,对于采用NAT方式访问公共网络的情况难以处理。
适用场合:
最适合可信LAN到LAN之间的VPN。
(4)SOCKSv5协议
SOCKSv5工作在OSI模型中的第五层——会话层,可作为建立高度安全的VPN的基础。
SOCKSv5协议的优势在访问控制,因此适用于安全性较高的VPN。
SOCKSv5现在被IETF建议作为建立VPN的标准。
优点:
非常详细的访问控制。
在网络层只能根据源目的的IP地址允许或拒绝被通过,在会话层控制手段更多一些;由于工作在会话层,能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用SOCKSv5的代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术。
SOCKSv5可根据规则过滤数据流,包括JavaApplet和Actives控制。
缺点:
其性能比低层次协议差,必须制定更复杂的安全管理策略。
适用场合:
最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
3.4.2安全技术
VPN是在不安全的Inte
升级会员 