多業務路由器

多業務路由器也和路由器一樣具有路由基本功能，路由器是互聯網絡中必不可少的網絡設備之一，路由器是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，從而構成一個更大的網絡。

多業務路由器和一般路由器存在區別，路由器有兩大典型功能，即數據通道功能和控制功能，多業務路由器又在網絡安全、流量控制、VPN組網等方面進行了加強。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等，一般由特定的硬件來完成；控制功能一般用軟件來實現，包括與相鄰路由器之間的信息交換、系統配置、系統管理等。 所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router。

多業務路由器是一種多類型、多端口的路由器設備，它可以連接不同傳輸速率並運行於各種環境的局域網和廣域網，也可以採用不同的協議。路由器屬於O S I 模型的第三層--網絡層。指導從一個網段到另一個網段的數據傳輸，也能指導從一種網絡向另一種網絡的數據傳輸。多業務路由器增加了部分OSI模型的部分四層以及四層以上功能，具備一定的業務感知和處理能力，能夠提供安全和加密等方面的功能。

第一，網絡互連：路由器支持各種局域網和廣域網接口，主要用於互連局域網和廣域網，實現不同網絡互相通信；

第二，數據處理：提供包括分組過濾、分組轉發、優先級、複用、加密、壓縮和防火牆等功能；

第三，網絡管理：路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。

所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router,是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀懂”對方的數據，從而構成一個更大的網絡。 為了完成“路由”的工作，在路由器中保存着各種傳輸路徑的相關數據－－路由表（Routing Table），供路由選擇時使用。路由表中保存着子網的標誌信息、網上路由器的個數和下一個路由器的名字等內容。路由表可以是由系統管理員固定設置好的，也可以由系統動態修改，可以由路由器自動調整，也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念，那就是：靜態路由表和動態路由表。由系統管理員事先設置好固定的路由表稱之為靜態（static）路由表，一般是在系統安裝時就根據網絡的配置情況預先設定的，它不會隨未來網絡結構的改變而改變。動態（Dynamic）路由表是路由器根據網絡系統的運行情況而自動調整的路由表。路由器根據路由選擇協議（Routing Protocol）提供的功能，自動學習和記憶網絡運行情況，在需要時自動計算數據傳輸的最佳路徑。

按性能檔次分為高、中、低檔路由器。 通常將路由器吞吐量大於40Gbps的路由器稱為高檔路由器，背吞吐量在25Gbps~40Gbps之間的路由器稱為中檔路由器，而將低於25Gbps的看作低檔路由器。當然這只是一種宏觀上的劃分標準，各廠家劃分並不完全一致，實際上路由器檔次的劃分不僅是以吞吐量為依據的，是有一個綜合指標的。以市場佔有率最大的Cisco公司為例，12000系列為高端路由器，7500以下系列路由器為中低端路由器。

從結構上分為“模塊化路由器”和“非模塊化路由器”。

模塊化結構可以靈活地配置路由器，以適應企業不斷增加的業務需求，非模塊化的就只能提供固定的端口。通常中高端路由器為模塊化結構，低端路由器為非模塊化結構。

從功能上劃分，可將路由器分為“骨幹級路由器”，“企業級路由器”和“接入級路由器”。

骨幹級路由器是實現企業級網絡互連的關鍵設備，它數據吞吐量較大，非常重要。對骨幹級路由器的基本性能要求是高速度和高可靠性。為了獲得高可靠性，網絡系統普遍採用諸如熱備份、雙電源、雙數據通路等傳統冗餘技術，從而使得骨幹路由器的可靠性一般不成問題。

企業級路由器連接許多終端系統，連接對象較多，但系統相對簡單，且數據流量較小，對這類路由器的要求是以儘量便宜的方法實現儘可能多的端點互連，同時還要求能夠支持不同的服務質量。

接入級路由器主要應用於連接家庭或ISP內的小型企業客户羣體。

按所處網絡位置劃分通常把路由器劃分為“邊界路由器”和“中間節點路由器”。

很明顯"邊界路由器"是處於網絡邊緣，用於不同網絡路由器的連接；而"中間節點路由器"則處於網絡的中間，通常用於連接不同網絡，起到一個數據轉發的橋樑作用。由於各自所處的網絡位置有所不同，其主要性能也就有相應的側重，如中間節點路由器因為要面對各種各樣的網絡。如何識別這些網絡中的各節點呢？靠的就是這些中間節點路由器的MAC地址記憶功能。基於上述原因，選擇中間節點路由器時就需要在MAC地址記憶功能更加註重，也就是要求選擇緩存更大，MAC地址記憶能力較強的路由器。但是邊界路由器由於它可能要同時接受來自許多不同網絡路由器發來的數據，所以這就要求這種邊界路由器的背板帶寬要足夠寬，當然這也要與邊界路由器所處的網絡環境而定。

從性能上可分為“線速路由器”以及“非線速路由器”。

所謂"線速路由器"就是完全可以按傳輸介質帶寬進行通暢傳輸，基本上沒有間斷和延時。通常線速路由器是高端路由器，具有非常高的端口帶寬和數據轉發能力，能以媒體速率轉發數據包；中低端路由器是非線速路由器。但是一些新的寬帶接入路由器也有線速轉發能力。

與計算機一樣，路由器也包含了一個中央處理器,也就是所説的CPU。不同系列和型號的路由器，其中的CPU也不盡相同。Cisco路由器一般採用Motorola 68030和Orion/R4600兩種處理器。

無論在中低端路由器還是在高端路由器中，CPU都是路由器的心臟。通常在中低端路由器當中，CPU負責交換路由信息、路由表查找以及轉發數據包。在路由器中，CPU的能力直接影響路由器的吞吐量（路由表查找時間）和路由計算能力（影響網絡路由收斂時間）。在高端路由器中，通常包轉發和查表由ASIC芯片完成，CPU只實現路由協議、計算路由以及分發路由表。由於技術的發展，路由器中許多工作都可以由硬件實現（專用芯片）。CPU性能並不完全反映路由器性能。路由器性能由路由器吞吐量、時延和路由計算能力等指標體現。

路由器中可能有多種內存，例如Flash（閃存）、DRAM（動態內存）等。內存用作存儲配置、路由器操作系統、路由協議軟件等內容。在中低端路由器中，路由表可能存儲在內存中。通常來説路由器內存越大越好（不考慮價格）。但是與CPU能力類似，內存同樣不直接反映路由器性能與能力。因為高效的算法與優秀的軟件可能大大節約內存。

路由器採用了以下幾種不同類型的內存，每種內存以不同方式協助路由器工作。

*只讀內存(ROM)

*閃存(FLASH)

*隨機存取內存(RAM)

*非易失性RAM(NVRAM)

1.只讀內存（ROM） 只讀內存（ROM）在Cisco路由器中的功能與計算機中的ROM相似，主要用於系統初始化等功能。ROM中主要包含：

（1）系統加電自檢代碼（POST），用於檢測路由器中各硬件部分是否完好；

（2）系統引導區代碼（BootStrap），用於啓動路由器並載入IOS操作系統；

（3）備份的IOS操作系統，以便在原有IOS操作系統被刪除或破壞時使用。通常，這個IOS比現運行IOS的版本低一些，但卻足以使路由器啓動和工作。

顧名思義，ROM是只讀存儲器，不能修改其中存放的代碼。如要進行升級，則要替換ROM芯片。

2.閃存（Flash）

閃存（Flash）是可讀可寫的存儲器，在系統重新啓動或關機之後仍能保存數據。Flash中存放着當前使用中的IOS。事實上，如果Flash容量足夠大，甚至可以存放多個操作系統，這在進行IOS升級時十分有用。當不知道新版IOS是否穩定時，可在升級後仍保留舊版IOS，當出現問題時可迅速退回到舊版操作系統，從而避免長時間的網路故障。

3.非易失性RAM(NVRAM)

非易失性RAM(Nonvolatile RAM)是可讀可寫的存儲器，在系統重新啓動或關機之後仍能保存數據。由於NVRAM僅用於保存啓動配置文件（Startup-Config），故其容量較小，通常在路由器上只配置32KB~128KB大小的NVRAM。同時，NVRAM的速度較快，成本也比較高。

4.隨機存儲器(RAM)

RAM也是可讀可寫的存儲器，但它存儲的內容在系統重啓或關機後將被清除。和計算機中的RAM一樣，Cisco路由器中的RAM也是運行期間暫時存放操作系統和數據的存儲器，讓路由器能迅速訪問這些信息。RAM的存取速度優於前面所提到的3種內存的存取速度。

運行期間，RAM中包含路由表項目、ARP緩衝項目、日誌項目和隊列中排隊

代碼、IOS操作系統程序和一些臨時數據信息。

路由器的類型不同，IOS代碼的讀取方式也不同。如Cisco 2500系列路由器只在需要時才從Flash中讀入部分IOS；而Cisco 4000系列路由器整個IOS必須先全部裝入RAM才能運行。因此，前者稱為Flash運行設備（Run from Flash），後者稱為RAM運行設備（Run from RAM）。

包轉發率，也稱端口吞吐量，是指路由器在某端口進行的數據包轉發能力，單位通常使用pps（包每秒）來衡量。一般來講，低端的路由器包轉發率只有幾K到幾十Kpps，而高端路由器則能達到幾十Mpps（百萬包每秒）甚至上百Mpps。如果小型辦公使用，則選購轉發速率較低的低端路由器即可，如果是大中型企業部門應用，就要嚴格這個指標，建議性能越高越好。

我們知道，路由器不僅能實現局域網之間連接，更重要的應用還是在於局域網與廣域網、廣域網與廣域網之間的相互連接。路由器與廣域網連接的接口稱之為廣域網接口（WAN接口）。路由器中常見的廣域網接口有以下幾種。

（1）RJ-45端口

（2）AUI端口

（3）高速同步串口

（4）異步串口

（5）ISDN BRI端口

（1）RJ-45端口 RJ-45端口是我們最常見的端口了，它是我們常見的雙絞線以太網端口，因為在快速以太網中也主要採用雙絞線作為傳輸介質，所以根據端口的通信速率不同RJ-45端口又可分為10Base-T網RJ-45端口和100Base-TX網RJ-45端口兩類。其中10Base-T網的RJ-45 端口在路由器中通常是標識為“ETH”，而100Base-TX 網的RJ-45端口則通常標識為“10/100bTX”，這主要是現在快速以太網路由器產品多數還是採用10/100Mbps帶寬自適應的。如圖左圖所示為10Base-T 網RJ-45端口，而右圖所示的為10/100Base-TX網RJ-45端口。其實這兩種RJ-45端口僅就端口本身而言是完全一樣的，但端口中對應的網絡電路結構是不同的，所以也不能隨便接。

RJ-45 端口

（2）AUI端口

AUI端口是用來與粗同軸電纜連接的接口，它是一種"D"型15針接口，這在令牌環網或總線型網絡中是一種比較常見的端口之一。路由器可通過粗同軸電纜收發器實現與10Base-5網絡的連接，但更多的是藉助於外接的收發轉發器（AUI-to-RJ-45），實現與10Base-T以太網絡的連接。當然也可藉助於其他類型的收發轉發器實現與細同軸電纜（10Base-2）或光纜（10Base-F）的連接。這裏所講的路由器AUI接口主要是用粗同軸電纜作為傳輸介質的網絡進行連接用的，AUI接口示意圖如圖所示。

AUI端口

（3）高速同步串口

在路由器的廣域網連接中，應用最多的端口還要算"高速同步串口"（SERIAL）了，這種端口主要是用於連接目前應用非常廣泛的DDN、幀中繼（Frame Relay）、X.25、PSTN（模擬電話線路）等網絡連接模式。在企業網之間有時也通過DDN或X.25等廣域網連接技術進行專線連接。這種同步端口一般要求速率非常高，因為一般來説通過這種端口所連接的網絡的兩端都要求實時同步。

（4）異步串口

異步串口（ASYNC）主要是應用於Modem或Modem池的連接，用於實現遠程計算機通過公用電話網撥入網絡。這種異步端口相對於上面介紹的同步端口來説在速率上要求寬鬆許多，因為它並不要求網絡的兩端保持實時同步，只要求能連續即可。所以我們在上網時所看到的並不一定就是網站上實時的內容，但這並不重要，因為畢竟這種延時是非常小的，重要的是在瀏覽網頁時能夠保持網頁正常的下載。

（5）ISDN BRI端口

ISDN BRI端口用於ISDN線路通過路由器實現與Internet或其他遠程網絡的連接，用於目前的大多數雙絞線銅線電話線。ISDN BRI的三個通道總帶寬為144 kbps。其中兩個通道稱為B（荷載Bearer）通道，速率為64 kbps，用於承載聲音、影像和數據通信。第三個通道是D（數據）通道，是16 kbps信號通道，用於告訴公用交換電話網如何處理每個B通道。ISDN有兩種速率連接端口，一種是ISDN BRI（基本速率接口），另一種是ISDN PRI（基羣速率接口），基於T1（23B+D）或者E1（30B+D），總速率分別為1.544Mbps或2.048Mbps。ISDN BRI端口是採用RJ-45標準，與ISDN NT1的連接使用RJ-45-to-RJ-45直通線。如圖所示為ISDN BRI端口。

ISDN BRI端口

路由協議作為TCP/IP協議族中重要成員之一，其選路過程實現的好壞會影響整個Internet網絡的效率。按應用範圍的不同，路由協議可分為兩類：在一個AS（Autonomous System，自治系統，指一個互連網絡，就是把整個Internet劃分為許多較小的網絡單位，這些小的網絡有權自主地決定在本系統中應採用何種路由選擇協議）內的路由協議稱為內部網關協議（interior gateway protocol），AS之間的路由協議稱為外部網關協議（exterior gateway protocol）。這裏網關是路由器的舊稱。現在正在使用的內部網關路由協議有以下幾種：RIP-1，RIP-2，IGRP，EIGRP，IS-IS和OSPF。其中前4種路由協議採用的是距離向量算法，IS-IS和OSPF採用的是鏈路狀態算法。對於小型網絡，採用基於距離向量算法的路由協議易於配置和管理，且應用較為廣泛，但在面對大型網絡時，不但其固有的環路問題變得更難解決，所佔用的帶寬也迅速增長，以至於網絡無法承受。因此對於大型網絡，採用鏈路狀態算法的IS-IS和OSPF較為有效，並且得到了廣泛的應用。IS-IS與OSPF在質量和性能上的差別並不大，但OSPF更適用於IP，較IS-IS更具有活力。IETF始終在致力於OSPF的改進工作，其修改節奏要比IS-IS快得多。這使得OSPF正在成為應用廣泛的一種路由協議。現在，不論是傳統的路由器設計，還是即將成為標準的MPLS（多協議標記交換），均將OSPF視為必不可少的路由協議。

外部網關協議最初採用的是EGP。EGP是為一個簡單的樹形拓撲結構設計的，隨着越來越多的用户和網絡加入Internet，給EGP帶來了很多的侷限性。為了擺脱EGP的侷限性，IETF邊界網關協議工作組制定了標準的邊界網關協議--BGP。

RIP協議

OSPF協議

BGP協議

IGRP協議

EIGRP協議

ES-IS和IS-IS協議

1、RIP協議

RIP是路由信息協議（Routing Information Protocol）的縮寫，採用距離向量算法，是當今應用最為廣泛的內部網關協議。在默認情況下，RIP使用一種非常簡單的度量制度：距離就是通往目的站點所需經過的鏈路數，取值為1~15，數值16表示無窮大。RIP進程使用UDP的520端口來發送和接收RIP分組。RIP分組每隔30s以廣播的形式發送一次，為了防止出現“廣播風暴”，其後續的的分組將做隨機延時後發送。在RIP中，如果一個路由在180s內未被刷，則相應的距離就被設定成無窮大，並從路由表中刪除該表項。RIP分組分為兩種：請求分組和相應分組。

RIP-1被提出較早，其中有許多缺陷。為了改善RIP-1的不足，在RFC1388中提出了改進的RIP-2，並在RFC 1723和RFC 2453中進行了修訂。RIP-2定義了一套有效的改進方案，新的RIP-2支持子網路由選擇，支持CIDR，支持組播，並提供了驗證機制。

隨着OSPF和IS-IS的出現，許多人認為RIP已經過時了。但事實上RIP也有它自己的優點。對於小型網絡，RIP就所佔帶寬而言開銷小，易於配置、管理和實現，並且RIP還在大量使用中。但RIP也有明顯的不足，即當有多個網絡時會出現環路問題。為了解決環路問題，IETF提出了分割範圍方法，即路由器不可以通過它得知路由的接口去宣告路由。分割範圍解決了兩個路由器之間的路由環路問題，但不能防止3個或多個路由器形成路由環路。觸發更新是解決環路問題的另一方法，它要求路由器在鏈路發生變化時立即傳輸它的路由表。這加速了網絡的聚合，但容易產生廣播氾濫。總之，環路問題的解決需要消耗一定的時間和帶寬。若採用RIP協議，其網絡內部所經過的鏈路數不能超過15，這使得RIP協議不適於大型網絡。 2、OSPF協議

為了解決RIP協議的缺陷，1988年RFC成立了OSPF工作組，開始着手於OSPF的研究與制定，並於1998年4月在RFC 2328中OSPF協議第二版（OSPFv2）以標準形式出現。OSPF全稱為開放式最短路徑優先協議（Open Shortest-Path First），OSPF中的O意味着OSPF標準是對公共開放的，而不是封閉的專有路由方案。OSPF採用鏈路狀態協議算法，每個路由器維護一個相同的鏈路狀態數據庫，保存整個AS的拓撲結構（AS不劃分情況下）。一旦每個路由器有了完整的鏈路狀態數據庫，該路由器就可以自己為根，構造最短路徑樹，然後再根據最短路徑構造路由表。對於大型的網絡，為了進一步減少路由協議通信流量，利於管理和計算，OSPF將整個AS劃分為若干個區域，區域內的路由器維護一個相同的鏈路狀態數據庫，保存該區域的拓撲結構。OSPF路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態。OSPF定義了5種分組：Hello分組用於建立和維護連接；數據庫描述分組初始化路由器的網絡拓撲數據庫；當發現數據庫中的某部分信息已經過時後，路由器發送鏈路狀態請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態更新分組來主動擴散自己的鏈路狀態數據庫或對鏈路狀態請求分組進行響應；由於OSPF直接運行在IP層，協議本身要提供確認機制，鏈路狀態應答分組是對鏈路狀態更新分組進行確認。

相對於其它協議，OSPF有許多優點。OSPF支持各種不同鑑別機制（如簡單口令驗證，MD5加密驗證等），並且允許各個系統或區域採用互不相同的鑑別機制；提供負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，OSPF路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發送出去；在一個自治系統內可劃分出若干個區域，每個區域根據自己的拓撲結構計算最短路徑，這減少了OSPF路由實現的工作量；OSPF屬動態的自適應協議，對於網絡的拓撲結構變化可以迅速地做出反應，進行相應調整，提供短的收斂期，使路由表儘快穩定化，並且與其它路由協議相比，OSPF在對網絡拓撲變化的處理過程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類型域間路由）地址。

OSPF的不足之處就是協議本身龐大複雜，實現起來較RIP困難。

3、BGP協議

RFC1771對BGP的最新版本BGP-4進行了詳盡的介紹。BGP用來在AS之間實現網絡可達信息的交換，整個交換過程要求建立在可靠的傳輸連接基礎上來實現。這樣做有許多優點，BGP可以將所有的差錯控制功能交給傳輸協議來處理，而其本身就變得簡單多了。BGP使用TCP作為其傳輸協議，缺省端口號為179。與EGP相比，BGP有許多不同之處，其最重要的革新就是其採用路徑向量的概念和對CIDR技術的支持。路徑向量中記錄了路由所經路徑上所有AS的列表，這樣可以有效地檢測並避免複雜拓撲結構中可能出現的環路問題；對CIDR的支持，減少了路由表項，從而加快了選路速度，也減少了路由器間所要交換的路由信息。另外，BGP一旦與其他BGP路由器建立對等關係，其僅在最初的初始化過程中交換整個路由表，此後只有當自身路由表發生改變時，BGP才會產生更新報文發送給其它路由器，且該報文中僅包含那些發生改變的路由，這樣不但減少了路由器的計算量，而且節省了BGP所佔帶寬。

BGP有4種分組類型：打開分組用來建立連接；更新分組用來通告可達路由和撤銷無效路由；週期性地發送存活分組，以確保連接的有效性；當檢測到一個差錯時，發送通告分組。

4、IGRP協議

內部網關路由協議（IGRP：Interior Gateway Routing Protocol）是一種在自治系統（AS：autonomous system）中提供路由選擇功能的路由協議。在上世紀80年代中期，最常用的內部路由協是路由信息協議（RIP）。儘管 RIP 對於實現小型或中型同機種互聯網絡的路由選擇是非常有用的，但是隨着網絡的不斷髮展，其受到的限制也越加明顯。思科路由器的實用性和 IGRP 的強大功能性，使得眾多小型互聯網絡組織採用 IGRP 取代了 RIP。早在上世紀90年代，思科就推出了增強的 IGRP，進一步提高了 IGRP 的操作效率。

IGRP 是一種距離向量（Distance Vector）內部網關協議（IGP）。距離向量路由選擇協議採用數學上的距離標準計算路徑大小，該標準就是距離向量。距離向量路由選擇協議通常與鏈路狀態路由選擇協議（Link-State Routing Protocols）相對，這主要在於：距離向量路由選擇協議是對互聯網中的所有節點發送本地連接信息。

為具有更大的靈活性，IGRP 支持多路徑路由選擇服務。在循環（Round Robin）方式下，兩條同等帶寬線路能運行單通信流，如果其中一根線路傳輸失敗，系統會自動切換到另一根線路上。多路徑可以是具有不同標準但仍然奏效的多路徑線路。例如，一條線路比另一條線路優先3倍（即標準低3級），那麼意味着這條路徑可以使用3次。只有符合某特定最佳路徑範圍或在差量範圍之內的路徑才可以用作多路徑。差量（Variance）是網絡管理員可以設定的另一個值。

5、EIGRP協議

增強的內部網關路由選擇協議（EIGRP：Enhanced Interior Gateway Routing Protocol）是增強版的 IGRP 協議。IGRP 是思科提供的一種用於 TCP/IP 和 OSI 英特網服務的內部網關路由選擇協議。它被視為是一種內部網關協議，而作為域內路由選擇的一種外部網關協議，它還沒有得到普遍應用。

Enhanced IGRP 與其它路由選擇協議之間主要區別包括：收斂寬速（Fast Convergence）、支持變長子網掩模（Subnet Mask）、局部更新和多網絡層協議。執行 Enhanced IGRP 的路由器存儲了所有其相鄰路由表，以便於它能快速利用各種選擇路徑（Alternate Routes）。如果沒有合適路徑，Enhanced IGRP 查詢其鄰居以獲取所需路徑。直到找到合適路徑，Enhanced IGRP 查詢才會終止，否則一直持續下去。

EIGRP 協議對所有的 EIGRP 路由進行任意掩碼長度的路由聚合，從而減少路由信息傳輸，節省帶寬。另外 EIGRP 協議可以通過配置，在任意接口的位邊界路由器上支持路由聚合。

Enhanced IGRP 不作週期性更新。取而代之，當路徑度量標準改變時，Enhanced IGRP 只發送局部更新（Partial Updates）信息。局部更新信息的傳輸自動受到限制，從而使得只有那些需要信息的路由器才會更新。基於以上這兩種性能，因此 Enhanced IGRP 損耗的帶寬比 IGRP 少得多。

6、ES-IS和IS-IS協議

在ISO規範中，一個路由器就是一個IS（中間系統），一個主機就是一個ES（末端系統）。提供IS和ES（路由器和主機）之間通信的協議，就是ES-IS；提供IS和IS（路由器和路由器）之間通信的協議也就是路由協議，叫IS-IS。

IS-IS協議屬於OSI模型，在網絡層中，分為兩個子層： Subnetwork Dependent Layer： 它在Subnetwork Independent Layer上把鏈路狀態屏蔽掉了，提供上層一個透明的工作環境。功能： 完成了PDU從連接網絡上的接受和發送； 負責Hello PDU的發送接受，完成鄰居的發現和鏈接關係的建立，維護；負責把IP和IS-IS的PDU交給各自的Process進行處理，特性：由於它是負責和地下鏈路打交道的，所以它決定了IS-IS路由協議支持什麼網絡類型。廣播和點對點兩種類型。 使用show clns is-neighbors命令可以查看鄰居表：Circuit ID：是一個只有8位bit長度的ID用來確定IS的接口，如果這個接口是連接着一個廣播網絡，那麼它的Circuit ID變成了連接多播網絡的DR的System ID+Circuit ID。LAN ID：System ID+Circuit ID，也就是由DR產生分發的一個ID，來表示路由器鄰居的特性。

在IS-IS中，DR路由器的選擇： 通過接口的優先級，只不過這些優先級分成L1和L2，如果優先級為零，那麼這個路由器無權進行DR選舉。如果優先級相同，根據System ID來進行選擇，最高的成為System ID。

和OSPF不同的是，在廣播網絡中，IS-IS路由器和所有的鄰居都會形成adjancency,而不只和DR形成；沒有BDR的概念，如果一個Dr fail了，會在區域中重新選一個出來；而且IS-IS路由協議的DR不是恆定的，如果有一個優先級更高或SystemID更高的路由器加入，會導致整個區域重新進行DR的選擇，並重新泛洪LSP報文通知DR的信息。

對於大多數企業局域網來説，路由器已經成為正在使用之中的最重要的安全設備之一。一般來説，大多數網絡都有一個主要的接入點。這就是通常與專用防火牆一起使用的“邊界路由器”。

經過恰當的設置，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你願意的話，這種路由器還能夠讓好人進入網絡。不過，沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚牆，而不是一個敞開的大門。

1.修改默認的口令!

據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱，80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。網站維護一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉IP直接廣播(IP Directed Broadcast)

你的服務器是很聽話的。讓它做什麼它就做什麼，而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出迴應。這種情況至少會降低你的網絡性能。

參考你的路由器信息文件，瞭解如何關閉IP直接廣播。例如，“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。

3.如果可能，關閉路由器的HTTP設置

正如思科的技術説明中簡要説明的那樣，HTTP使用的身份識別協議相當於向整個網絡發送一個未加密的口令。然而，遺憾的是，HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。

雖然這種未加密的口令對於你從遠程位置(例如家裏)設置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器，你一定要確保使用SNMPv3以上版本的協議，因為它支持更嚴格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機。因此，ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用户接收ping請求的應答能力，你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。

請注意，這樣做實際上並不能保護你的網絡不受攻擊，但是，這將使你不太可能成為一個攻擊目標。

5.關閉IP源路由

IP協議允許一台主機指定數據包通過你的網絡的路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用於診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像，或者用於攻擊者在你的專用網絡中尋找一個後門。除非指定這項功能只能用於診斷故障，否則應該關閉這個功能。

6.確定你的數據包過濾的需求

封鎖端口有兩項理由。其中之一根據你對安全水平的要求對於你的網絡是合適的。

對於高度安全的網絡來説，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用於web通信的端口80和用於SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關閉。

大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back Orifice木馬程序更難攻擊你的網絡。

這項工作應該在網絡規劃階段確定，這時候安全水平的要求應該符合網絡用户的需求。查看這些端口的列表，瞭解這些端口正常的用途。

7.建立准許進入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如，192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，並且是一場攻擊的一部分。

相反，來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最後，擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這台路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網絡嗅探的角度看，路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包，而集線器相所有的節點播出數據。如果連接到那台集線器的一個系統將其網絡適配器置於混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然後，重要的是確保物理訪問你的網絡設備是安全的，以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。

9.花時間審閲安全記錄

審閲你的路由器記錄(通過其內置的防火牆功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來説，路由器位於你的網絡的邊緣，並且允許你看到進出你的網絡全部通信的狀況。