路由器

路由器又可以稱之為網關設備。路由器就是在OSI/RM中完成的網絡層中繼以及第三層中繼任務，對不同的網絡之間的數據包進行存儲、分組轉發處理，其主要就是在不同的邏輯分開網絡。而數據在一個子網中傳輸到另一個子網中，可以通過路由器的路由功能進行處理。在網絡通信中，路由器具有判斷網絡地址以及選擇IP路徑的作用，可以在多個網絡環境中，構建靈活的鏈接系統，通過不同的數據分組以及介質訪問方式對各個子網進行鏈接。路由器在操作中僅接受源站或者其他相關路由器傳遞的信息，是一種基於網絡層的互聯設備。 ^[1] 

路由器通常位於網絡層，因而路由技術也是與網絡層相關的一門技術， 路由器與早期的網橋相比有很多的變化和不同。 通常而言，網橋的侷限性比較大，它只能夠連通數據鏈路層相同或者類似的網絡，不能夠連接數據鏈路層之間有着較大差異的網絡。但是路由器卻不同，它打破了這個侷限，能夠連接任意的兩種不同的網絡，但是這兩種不同的網絡之間要遵守一個原則，就是使用相同的網絡層協議，這樣才能夠被路由器連接。 路由技術簡單來説就是對網絡上眾多的信息進行轉發與交換的一門技術，具體來説，就是通過互聯網絡將信息從源地址傳送到目的地址。路由技術這幾年來也取得了不錯的發展和進步，特別是第五代路由器的出現，滿足了人們對數據、語音和圖像的綜合應用，逐漸被大多數家庭網絡所選擇並且廣泛被使用。 除此之外，這幾年來，我國的路由技術越來越成熟，同時也結合了當代的智能化技術，使得人們在使用路由技術的過程中能夠體會到快捷、快速的效果，從而推動和促進互聯網和網絡技術的發展。 ^[2] 

路由器是互聯網的主要結點設備。路由器通過路由決定數據的轉發。轉發策略稱為路由選擇（routing），這也是路由器名稱的由來。作為不同網絡之間互相連接的樞紐，路由器系統構成了基於TCP/IP的國際互聯網絡Internet 的主體脈絡，也可以説，路由器構成了Internet的骨架。它的處理速度是網絡通信的主要瓶頸之一，它的可靠性則直接影響着網絡互連的質量。因此，在園區網、地區網、乃至整個Internet研究領域中，路由器技術始終處於核心地位，其發展歷程和方向，成為整個Internet研究的一個縮影。在當前我國網絡基礎建設和信息建設方興未艾之際，探討路由器在互連網絡中的作用、地位及其發展方向，對於國內的網絡技術研究、網絡建設，以及明確網絡市場上對於路由器和網絡互連的各種似是而非的概念，都有重要的意義。

網絡中的設備相互通信主要是用它們的IP地址，路由器只能根據具體的IP地址來轉發數據。IP地址由網絡地址和主機地址兩部分組成。在Internet中採用的是由子網掩碼來確定網絡地址和主機地址。子網掩碼與IP地址一樣都是32位的，並且這兩者是一一對應的，子網掩碼中“1”對應IP地址中的網絡地址，“0”對應的是主機地址，網絡地址和主機地址就構成了一個完整的IP地址。在同一個網絡中，IP地址的網絡地址必須是相同的。計算機之間的通信只能在具有相同網絡地址的IP地址之間進行，如果想要與其他網段的計算機進行通信，則必須經過路由器轉發出去。不同網絡地址的IP地址是不能直接通信的，即便它們距離非常近，也不能進行通信。路由器的多個端口可以連接多個網段，每個端口的IP地址的網絡地址都必須與所連接的網段的網絡地址一致。不同的端口它的網絡地址是不同的，所對應的網段也是不同的，這樣才能使各個網段中的主機通過自己網段的IP地址把數據發送到路由器上。 ^[3] 

路由器分為本地路由器和遠程路由器，本地路由器是用來連接網絡傳輸介質的，如光纖、同軸電纜、雙絞線；遠程路由器是用來連接遠程傳輸介質，並要求相應的設備，如電話線要配調制解調器，無線要通過無線接收機、發射機。

（1）電源接口（POWER）：接口連接電源。

（2）復位鍵（RESET）：此按鍵可以還原路由器的出廠設置。

（3）貓(MODEM)或者是交換機與路由器連接口（WAN）：此接口用一條網線與家用寬帶調制解調器（或者與交換機）進行連接。

（4）電腦與路由器連接口（LAN1~4）：此接口用一條網線把電腦與路由器進行連接。

作為路由器來講，也有一個類似於我們PC系統中BIOS一樣作用的部分，叫做MiniIOS。MiniIOS可以使我們在路由器的FLASH中不存在ISO時，先引導起來，進入恢復模式，來使用TFTP或X-MODEM等方式去給FLASH中導入ISO文件。所以，路由器的啓動過程應該是這樣的：

（1）路由器在加電後首先會進行POST，Power On Self Test (上電自檢，對硬件進行檢測的過程)。

（2）POST完成後，首先讀取ROM裏的BootStrap程序進行初步引導。

（3）初步引導完成後，嘗試定位並讀取完整的ISO鏡像文件。在這裏，路由器將會首先在FLASH中查找ISO文件，如果找到了ISO文件的話，那麼讀取ISO文件，引導路由器。

（4）如果在FLASH中沒有找到ISO文件的話，那麼路由器將會進入BOOT模式，在BOOT模式下可以使用TFTP上的ISO文件。或者使用TFTP/X-MODEM來給路由器的FLASH中傳一個ISO文件(一般我們把這個過程叫做灌ISO)。傳輸完畢後重新啓動路由器，路由器就可以正常啓動到CLI模式。

（5）當路由器初始化完成ISO文件後，就會開始在NVRAM中查找STARTUP-CONFIG文件，STARTUP-CONFIG叫做啓動配置文件。該文件裏保存了我們對路由器所做的所有的配置和修改。當路由器找到了這個文件後，路由器就會加載該文件裏的所有配置，並且根據配置來學習、生成、維護路由表，並將所有的配置加載到RAM(路由器的內存)裏後，進入用户模式，最終完成啓動過程。

（6）如果在NVRAM裏沒有STARTUP-CONFIG文件，則路由器會進入詢問配置模式，也就是俗稱的問答配置模式，在該模式下所有關於路由器的配置都可以以問答的形式進行配置。不過一般情況下我們基本上是不用這樣的模式的。我們一般都會進入CLI(Comman Line Interface)命令行模式後對路由器進行配置。

路由器最主要的功能為實現信息的轉送。其實深入簡出的説，就如同快遞公司來發送郵件。郵件並不是瞬間到達最終目的地，而是通過不同分站的分揀，不斷的接近最終地址，從而實現郵件的投遞過程的。因為路由器處在不同網絡之間，但並不一定是信息的最終接收地址。所以在路由器中, 通常存在着一張路由表。根據傳送網站傳送的信息的最終地址，尋找下一轉發地址，應該是哪個網絡。因此，我們把這個過程稱之為尋址過程。路由器尋址過程也是類似原理。通過最終地址，在路由表中進行匹配，通過算法確定下一轉發地址。這個地址可能是中間地址，也可能是最終的到達地址。 ^[4] 

路由器的功能就是將不同的子網之間的數據進行傳遞。 具體功能有以下幾點：

（1）實現IP、TCP、UDP、ICMP等網絡的互連。

（2）對數據進行處理。收發數據包，具有對數據的分組過濾、複用、加密、壓縮及防護牆等各項功能。

（3）依據路由表的信息，對數據包下一傳輸目的地進行選擇。

（4） 進行外部網關協議和其他自治域之間拓撲信息的交換。

（5） 實現網絡管理和系統支持功能。 ^[5] 

連通不同的網絡

從過濾網絡流量的角度來看，路由器的作用與交換機和網橋非常相似。但是與工作在網絡數據鏈路層，從物理上劃分網段的交換機不同，路由器使用專門的軟件協議從邏輯上對整個網絡進行劃分。例如，一台支持IP協議的路由器可以把網絡劃分成多個子網段，只有指向特殊IP地址的網絡流量才可以通過路由器。對於每一個接收到的數據包，路由器都會重新計算其校驗值，並寫入新的物理地址。因此，使用路由器轉發和過濾數據的速度往往要比只查看數據包物理地址的交換機慢。但是，對於那些結構複雜的網絡，使用路由器可以提高網絡的整體效率。路由器的另外一個明顯優勢就是可以自動過濾網絡廣播。總體上説，在網絡中添加路由器的整個安裝過程要比即插即用的交換機複雜很多。

有的路由器僅支持單一協議，但大部分路由器可以支持多種協議的傳輸，即多協議路由器。由於每一種協議都有自己的規則，要在一個路由器中完成多種協議的算法，勢必會降低路由器的性能。路由器的主要工作就是為經過路由器的每個數據幀尋找一條最佳傳輸路徑，並將該數據有效地傳送到目的站點。由此可見，選擇最佳路徑的策略即路由算法是路由器的關鍵所在。為了完成這項工作，在路由器中保存着各種傳輸路徑的相關數據——路徑表（Routing Table），供路由選擇時使用。路徑表中保存着子網的標誌信息、網上路由器的個數和下一個路由器的名字等內容。路徑表可以是由系統管理員固定設置好的。

所使用的路徑選擇是預先在離線情況下計算好，並在網絡啓動時被下載到路由器中的。它無法響應故障，靜態路由對於路由選擇已經很清楚的場合非常有用。 ^[6] 

會改變它們的路由決策以便反映出拓撲結構的變化，通常也會反映出流量的變化情況。動態路由算法在多個方面有所不同：獲取信息的來源不同，改變路徑的時間不同以及用於路由優化的度量不同。 ^[6] 

（1）功能上可以劃分為：骨幹級、企業級和接入級路由器。骨幹級路由器數據吐量較大且重要，是企業級網絡實現互連的關鍵。骨幹級路由器要求性能的高速度及高可靠性。 網絡通常採用熱備份、雙電源和雙數據通路等技術來確保其可靠性。企業級路由器連接對象為許多終端系統，簡單且數據流量較小。 ^[5] 

（2）結構上可以劃分為：模塊化和非模塊化路由器。 模塊化路由器可以實現路由器的靈活配置，適應企業的業務需求；非模塊化路由器只能提供固定單一的端口。通常情況下，高端路由器是模塊化結構，低端路由器是非模塊化結構的。 ^[5] 

（3）按所處網絡位置劃分為“邊界路由器”和“中間節點路由器”。在廣域網範圍內的路由器按其轉發報文的性能可以分為兩種類型，即邊界路由器和中間節點路由器。

儘管在不斷改進的各種路由協議中，對這兩類路由器所使用的名稱可能有很大的差別，但所發揮的作用卻是一樣的。 很明顯"邊界路由器"是處於網絡邊緣，用於不同網絡路由器的連接；而"中間節點路由器"則處於網絡的中間，通常用於連接不同網絡，起到一個數據轉發的橋樑作用。

中間節點路由器在網絡中傳輸時，提供報文的存儲和轉發。同時根據當前的路由表所保持的路由信息情況，選擇最好的路徑傳送報文。由多個互連的LAN組成的公司或企業網絡一側和外界廣域網相連接的路由器，就是這個企業網絡的連界路由器。它從外部廣域網收集向企業網絡尋址的信息，轉發到企業網絡中有關的網絡段；另一方面集中企業網絡中各個LAN段向外部廣域網發送的報文，對相關的報文確定最好的傳輸路徑。

路由器的核心是背板，高效率的背板有助於提高路由器的性能。由於傳統的共享總線式背板無法滿足路由器的需要，所以採用結構可以用不同技術實現的交換式背板。 Banyan結構、Crossbar結構以及並行共享存儲結構是交換式背板常用結構。Banyan結構採用自路由技術和多級緩衝結構；Crossba結構是單級、單通路、非阻塞的結構，採用的是全互聯網交換結構；並行共享儲存結構是研究的一個熱點。 ^[5] 

LETF建立了一個工作組來解決人們想要在任何地點都能夠將計算機、筆記本連接到Internet的方案，工作組整理出了實現任何一個方案所要滿足的條件，有以下幾點：

（1）每一台主機必須確保在任何一個地方都能夠使用其IP地址；

（2）固定的主機，不能改動軟件設備；路由器軟件和路由表也不能隨意的改動； ^[5] 

現有互聯網是在IPv4協議基礎上運行操作的。隨着互聯網的迅速發展，Web的出現導致互聯網形成爆炸性的發展IPv4所定義的有限地址空間不足， IP地址空前緊張，影響互聯網的進一步發展，於是便提出下一版的互聯網協議——IPv6。IPv6採用128位地址長度，提供地址幾乎不受限制，不僅解決了IPv4不能解決的難題，還在IP層增加了認證、加密的安全措施，保證了安全性。IPv6具有擴大地址空間、將網絡的整體吞吐量提高、有效地改善服務質量、保證安全性、移動性，並支持即插即用，實現多播功能等優勢。 ^[5] 

VPN（虛擬專用網）是路由器技術中最重要的一種。VPN 指在建築在上能夠進行自我管理的專用網絡。在上，VPN用户可以控制自己與其他使用者之間的聯繫，可以同時支持撥號的用户使用。成功的VPN具備這些特點：安全保障、服務質量保障、具備可擴充性、靈活性和可管理性。 ^[5] 

VPRN是日常網絡中的虛擬專用路由網。VPRN可以將位於不同物理局域網段的設備相互之間如同在同一網段中一樣， 進行直接的通信。包括的業務有：使用傳統的VPN協議和MPLS方式的VPN。解決路由器VPN技術的方案有：對訪問控制進行設定；對通信數據進行加密；NAT(網絡地址轉換協議)技術。 ^[5] 

QoS即為服務質量。早先，QoS只是在ATM中專用，但由 於IP作為一個打包的協議不能滿足多媒體信息越來越多的應用，造成延遲長且不是定值的問題，丟包造成信號失真大、不連續等。

廠商提供了若干的解決方案：①優先級的某些設備數據包發送可以後到先傳；②如果用户的哪種協議優先級較高，Intel和Cisco都支持其後到先傳；③做鏈路整合MLPPP，Cisco支持採用把連接兩點的多條線路匯聚在一起的 方式來提高寬帶；④做資源預留PSVP，將一部分的寬帶以固 定的形式分給多媒體信號，不論其他的協議如何的擁擠，這部分寬帶都不會被佔用。 ^[5] 

傳統路由器在轉發每一個分組時，都要進行一系列複雜操作，包括路由查找、訪問控制表匹配、地址解析、優先級管理以及其他附加操作。這些操作大大影響了路由器的性能與效率，降低了分組轉發速率和轉發的吞吐量，增加了CPU的負擔。經過路由器的前後分組間的相關性很大，具有相同目的地址和源地址的分組往往連續到達，這為分組的快速轉發提供了實現的可能與依據。新一代路由器，如IP Switch、Tag Switch等，就是採用這一設計思想用硬件以實現快速轉發，從而大大提高了路由器的性能與效率。

新一代路由器使用轉發緩存來簡化分組的轉發操作。在快速轉發過程中，只需對一組具有相同目的地址和源地址的分組的前幾個分組進行傳統的路由轉發處理，並把成功轉發的分組的目的地址、源地址和下一網關地址 (下一路由器地址) 放入轉發緩存中。當其後的分組要進行轉發時，應先查看轉發緩存，如果該分組的目的地址和源地址與轉發緩存中的匹配，則直接根據轉發緩存中的下一網關地址進行轉發，而無需經過傳統的複雜操作，大大減輕了路由器的負擔，從而達到了提高路由器吞吐量的目標。 ^[7] 

實踐表明，在應用無線網絡光纖通信路由器期間，往往存在着一定的安全隱患問題，這些安全隱患問題影響着無線網絡光纖通信路由器的應用質量與通信安全。具體而言，主要表現為以下幾點。 ^[1] 

無線網絡路由隱蔽性不高

無線網絡光纖通信路由器在使用期間存在的一個重要安全隱患問題便是無線網絡隱蔽性不高的問 題。由於無線網絡主要應用射頻技術來實施網絡連接與傳輸工作，並且利用無線電波的形式，在一定範圍內將數據傳播出去，一旦設備覆蓋範圍超出了企業的範圍，那麼黑客便能夠很容易地登錄到無線網絡，從而對網絡展開攻擊，這便導致無線網絡光纖通信路由器的使用環境較差，安全指數不斷下降，最終影響用户的使用率。 ^[1] 

存在竊聽網絡通信問題

竊聽網絡通信主要指：用户在使用網絡期間，攻擊者對用户的通信信息進行一定的監聽，並且將通信內容通過仿真終端機的形式將其展現出來。儘管網路沒有對外廣播，但是一些網絡攻擊者依舊能夠通過一些網絡工具軟件對其展開監聽，並且對通信量進行分析，最終。識別出能夠破壞的信息。入侵者一旦成功登錄到無線網絡上，那麼將會給企業網絡和商業機密帶來嚴重的威脅。 ^[1] 

黑客最為常用的供給手段之一便是拒絕服務攻擊，換言之使目標主機無法繼續提供服務，攻擊者能夠讓不同的設備使用相同的頻率，這便會導致無線頻譜內產生一定的衝突，從而發送一些違法的身份驗證請求等，通信量無法傳送到目的地，最終導致用户不 能正常使用網絡，這給用户的工作帶來極大的困擾。 ^[1] 

路由器對於網絡來説，它是一種過渡性的工具，它對網絡的使用也有着非常重要的作用。路由器的漏洞主要分為密碼破解漏洞、Web漏洞、後門漏洞和溢出漏洞，但是大部分的路由器漏洞都是與路由器質量的好壞有重要的關係的。每個路由器都至少有兩個端口和兩個網絡相連接，質量好的路由器會使用嚴格的安全機制來對自己進行保護，同時也會對連接的電腦網絡進行一定的保護，避免密碼出現被破解或者留有太過明顯的後門。除此之外，網絡管理者和路由器的安裝也應該對設備進行一定的安全保護，從根源上對危險進行隔絕。對於BGP漏洞來説，最有效的解決方法就會在ISP級別解決問題，在網絡層面來説就是對入站數據包的路由進行監控，並搜索其中的任何異常情況進行解決。同時作為路由器的使用者和網絡設備的使用者，應該對路由器設備的安全性能進行一定的學習和了解，對路由器的密碼設置等進行重視，避免給不法人員留有可乘之機，同時在路由器設備出現問題的時候，要及時找相關人員進行及時的處理和解決，最大程度的減少傷害和損失。 ^[8] 

無線路由器是一種應用於用户上網、帶有無線覆蓋功能的路由器，可將其看作一個轉發器，將寬帶網絡信號通過天線轉發給附近的無線網絡設備。 ^[9]  市場上流行的無線路由器一般都支持專線xdsl/ cable、動態xdsl、pptp四種接入方式，它還具有其它一些網絡管理的功能，如dhcp服務、nat防火牆、mac地址過濾、動態域名等功能。 ^[9]  常見的無線路由器一般都有一個RJ45口為WAN口，也就是UPLink到外部網絡的接口，其餘2-4個口為LAN口，用來連接普通局域網，內部有一個網絡交換機芯片，專門處理LAN接口之間的信息交換。通常無線路由的WAN口和LAN之間的路由工作模式一般都採用NAT方式。所以，其實無線路由器也可以作為有線路由器使用。 ^[9]