路由器技術(shù)綜述

作為一種高效的IP骨干網(wǎng)技術(shù)平臺，MPLS技術(shù)為下一代的IP網(wǎng)絡(luò )提供了一種靈活的而且具有可擴展性的骨干網(wǎng)交換技術(shù)基礎。使用MPLS技術(shù)，將可以大大提高網(wǎng)絡(luò )的運行效率，可以實(shí)現對IP網(wǎng)上業(yè)務(wù)的QoS劃分，并且可以通過(guò)流量工程對網(wǎng)絡(luò )的資源進(jìn)行合理的分配，實(shí)現約束路由。借助于這些能力，MPLS網(wǎng)絡(luò )還將能夠提供高效的VPN業(yè)務(wù)、實(shí)時(shí)業(yè)務(wù)等?？梢哉f(shuō)，MPLS技術(shù)很有可能成為IP網(wǎng)絡(luò )向下一代的電信級的IP網(wǎng)絡(luò )演進(jìn)中的關(guān)鍵技術(shù)。所以MPLS技術(shù)也可能是路由器是否成為下一代IP網(wǎng)絡(luò )的核心設備的關(guān)鍵。

雖然MPLS擁有種種優(yōu)點(diǎn)，但是在大網(wǎng)上還沒(méi)有廣泛應用。原因在于協(xié)議不成熟，多廠(chǎng)商互通性存在問(wèn)題，MPLS跨AS甚至跨Area存在問(wèn)題，VC Merge(VC合并)需要研究。然而在目前看來(lái)，MPLS是實(shí)現基于網(wǎng)絡(luò )VPN最理想的方案并且能夠實(shí)現流量工程。未來(lái)IP網(wǎng)的研究必須探討采用MPLS的可能性。路由器設備必須考慮實(shí)現MPLS。

VPN技術(shù)

VPN是指在公用網(wǎng)絡(luò )上建立虛擬私有網(wǎng)?？梢詮牟煌慕嵌葘PN進(jìn)行分類(lèi)：

按接入方式劃分

專(zhuān)線(xiàn)VPN：為已經(jīng)通過(guò)專(zhuān)線(xiàn)接入ISP邊緣路由器的用戶(hù)提供的VPN實(shí)現方案。

撥號VPN(又稱(chēng)VPDN)：指為利用撥號PSTN或ISDN接入 ISP的用戶(hù)提供的VPN業(yè)務(wù)。

按協(xié)議類(lèi)型劃分

第二層隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議(PPTP)、第二層轉發(fā)協(xié)議(L2F)、第二層隧道協(xié)議(L2TP)。

第三層隧道協(xié)議：通用路由封裝協(xié)議(GRE)、IP安全(IPSec)。

MPLS隧道協(xié)議可以看成在第二層和第三層之間。

按VPN的發(fā)起方式劃分

客戶(hù)發(fā)起(也稱(chēng)基于客戶(hù)的)：VPN服務(wù)提供的起始點(diǎn)和終止點(diǎn)是面向客戶(hù)的，其內部技術(shù)構成、實(shí)施和管理對VPN客戶(hù)可見(jiàn)。

服務(wù)器發(fā)起(也稱(chēng)客戶(hù)透明方式或基于網(wǎng)絡(luò )的)：在公司中心部門(mén)和ISP處(稱(chēng)為POP)安裝VPN軟件，客戶(hù)無(wú)須安裝任何特殊軟件。

按目前運營(yíng)商所開(kāi)展的類(lèi)型劃分

撥號VPN業(yè)務(wù)(VPDN)：就是第一種劃分方式中的VPDN。

虛擬租用線(xiàn)(VLL)：是對傳統的租用線(xiàn)業(yè)務(wù)的仿真，以IP網(wǎng)絡(luò )對租用線(xiàn)進(jìn)行模擬，而這樣一條虛擬租用線(xiàn)兩端的用戶(hù)看來(lái)，該虛擬租用線(xiàn)等價(jià)于過(guò)去的租用線(xiàn)。

虛擬專(zhuān)用路由網(wǎng)(VPRN)業(yè)務(wù)：包括兩類(lèi)，一是使用傳統的VPN協(xié)議，如 IPSec、GRE等實(shí)現的VPRN。另外一種是MPLS方式的VPN。

路由器上的QoS

路由器上的QoS可以通過(guò)下面幾種手段獲得：

通過(guò)大帶寬得到。在路由器上除增加接口帶寬以外不作任何額外工作來(lái)保障QoS。

由于數據通信沒(méi)有相應公認的數學(xué)模型作保障，該方法只能粗略地使用經(jīng)驗值作估計。通常認為當帶寬利用率到達50％以后就應當擴容，保證接口帶寬利用率小于50％。

通過(guò)端到端帶寬預留實(shí)現。該方法通過(guò)使用RSVP或者類(lèi)似協(xié)議在全網(wǎng)范圍內通信的節點(diǎn)間端到端預留帶寬。該方法能保證QoS，但是代價(jià)太高，通常只在企業(yè)網(wǎng)或者私網(wǎng)上運行，在大網(wǎng)公網(wǎng)上無(wú)法實(shí)現。

通過(guò)接入控制、擁塞控制和區分服務(wù)（Diff?Serv）等方式得到。該方式無(wú)法完全保證QoS。這能與增加接口帶寬等方式結合使用，在一定程度上提供相對的CoS。

通過(guò)MPLS流量工程得到。

路由器安全性

路由器的安全性分兩方面，一方面是路由器本身的安全，另一方面是數據的安全。

由于路由器是互聯(lián)網(wǎng)的核心，是網(wǎng)絡(luò )互連的關(guān)鍵設備。所以路由器的安全要求比其他設備的安全性要求更高。主機的安全漏洞最多導致該主機無(wú)法訪(fǎng)問(wèn)，路由器的安全漏洞可能導致整個(gè)網(wǎng)絡(luò )不可訪(fǎng)問(wèn)。

路由器的安全漏洞可能存在管理上原因和技術(shù)上原因。在管理上，對路由器口令糟糕的選擇、路由協(xié)議授權機制的不恰當使用、錯誤的路由配置都可能導致路由器工作出現問(wèn)題。技術(shù)上路由器的安全漏洞可能有如下方面：

惡意攻擊。如竊聽(tīng)、流量分析、假冒、重發(fā)、拒絕服務(wù)、資源非授權訪(fǎng)問(wèn)、干擾、病毒等攻擊。

軟件漏洞。后門(mén)、操作系統漏洞、數據庫漏洞、TCP/IP協(xié)議漏洞、網(wǎng)絡(luò )服務(wù)等都可能會(huì )存在漏洞。

路由器所傳遞數據的安全可以由網(wǎng)絡(luò )提供或者用戶(hù)提供。如果由網(wǎng)絡(luò )提供則只與接入路由器相關(guān)。通?？梢杂山尤肼酚善魈峁㊣PSec安全通道來(lái)保證安全。