之18 主要路由器技术
路由器设备安全功能规范
路由器设备安全功能规范S p e c i f i c a t i o n f o r R o u t e r F u n c t i o nU s e d i n C h i n a M o b i l e版本号:1.0.0网络与信息安全规范编号:【网络与信息安全规范】·【第三层:技术规范·路由器】·【第3501号】2007-12-17发布2008-01-01实施目录1概述 (1)1.1适用范围 (1)1.2内部适用性说明 (1)1.3外部引用说明 (3)1.4术语和定义 (3)1.5符号和缩略语 (3)2路由器设备安全功能要求 (4)2.1账号管理、认证授权 (4)2.1.1账号 (4)2.1.2口令 (4)2.1.3授权 (5)2.1.4认证 (5)2.2日志 (6)2.3IP协议安全 (6)2.3.1基本协议 (7)2.3.2路由协议 (7)2.3.3SNMP协议 (7)2.3.4MPLS (8)2.4设备其他安全功能 (8)前言1概述1.1 适用范围本规范适用于中国移动通信网、业务系统和支撑系统的各类路由器设备和具实际使用启用了路由功能的设备。
本规范明确了路由器设备在安全功能方面的基本要求。
本规范可作为编制路由器设备入网测试规范等文档的参考。
1.2 内部适用性说明本规范是在《设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备功能要求的基础上,提出的路由器设备安全功能要求。
以下分项列出本规范对《通用规范》设备功能要求的修订情况:具体见下表:安全要求-设备-路由器-功能-13安全要求-设备-路由器-功能-14安全要求-设备-路由器-功能-15-可选安全要求-设备-路由器-功能-16安全要求-设备-路由器-功能-17安全要求-设备-路由器-功能-18安全要求-设备-路由器-功能-19安全要求-设备-路由器-功能-20-可选安全要求-设备-路由器-功能-21-可选安全要求-设备-路由器-功能-22安全要求-设备-路由器-功能-23-可选安全要求-设备-路由器-功能-24-可选安全要求-设备-路由器-功能-25安全要求-设备-路由器-功能-26-可选安全要求-设备-路由器-功能-27-可选安全要求-设备-路由器-功能-28-可选安全要求-设备-路由器-功能-29-可选安全要求-设备-路由器-功能-30-可选安全要求-设备-路由器-功能-31-可选1.3 外部引用说明《中国移动通用安全功能和配置规范》1.4 术语和定义1.5 符号和缩略语2路由器设备安全功能要求2.1 账号管理、认证授权2.1.1账号功能要求:2.1.2口令功能要求:2.1.3授权功能要求:2.1.4认证功能要求:2.2 日志本规范对路由器设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
推荐-路由器处理因特网协议栈中的哪些层次 精品
路由器处理因特网协议栈中的哪些层次?篇一:网络课后习题1-01 、计算机网络向用户可以提供那些服务?连通性和共享1-02 、简述分组交换的要点。
报文分组,加首部、经路由器储存转发、在目的地合并1-03 、试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。
答:(1)电路交换:端对端通信质量因约定了通信资源获得可靠保障,对连续传送大量数据效率高。
(2)报文交换:无须预约传输带宽,动态逐段利用传输带宽对突发式数据通信效率高,通信迅速。
(3)分组交换:具有报文交换之高效、迅速的要点,且各分组小,路由灵活,网络生存性能好。
1-05 因特网的发展大致分为哪几个阶段?请指出这几个阶段的主要特点。
答:从单个网络APPANET向互联网发展:TCP/IP协议的初步成型;建成三级结构Internet:分为主干网、地区网和校园网;形成多层次ISP结构的Internet:ISP首次出现。
1-08 计算机网络都有哪些类别?各种类别的网络都有哪些特点?答:(1)广域网WAN:远程、高速、是Internet的核心网。
(2)城域网:城市,链接多个局域网。
(3)局域网:校园、企业、机关、社区。
(4)个域网PAN:个人电子设备1-10 试在下列条件下比较电路交换和分组交换。
要传送的报文共x(bit)。
从源点到终点共经过k段链路,每段链路的传播时延为d(s),数据率为b(b/s)。
在电路交换时电路的建立时间为s(s)。
在分组交换时分组长度为p(bit),且各结点的排队等待时间可忽略不计。
问在怎样的条件下,分组交换的时延比电路交换的要小?(提示:画一下草图观察k段链路共有几个结点。
)答:线路交换时延:kd+x/b+s, 分组交换时延:kd+(x/p)*(p/b)+ (k-1)*(p/b) 其中(k-1)*(p/b)表示K段传输中,有(k-1)次的储存转发延迟,当s(k-1)*(p/b)时,电路交换的时延比分组交换的时延大,当xp,相反。
映翰通公司InRouter900系列工业LTE路由器应用方案说明书
面向大规模设备联网安全的、可靠的高工业等级InRouter900 系列工业 LTE 路由器应用方案IR900 系列高工业等级路由器是映翰通公司面向工业领域推出的新一代 3G/4G 无线VPN 路由器。
该设备凭借 3G/4G 无线网络和多种宽带服务,提供随处可得的不间断的互联网接入,以其全面的安全性和无线服务等特性,实现多达万级的设备联网,为真正意义上的设备信息化提供数据的高速通路。
IR900 系列路由器具有完备智能的软件功能和全工业级硬件平台,为远端设备提供高可靠、高速、安全的网络接入,支持企业客户快速、轻松完成大规模设备网络的部署和管理。
IR900 系列路由器以其卓越的硬件性能,易于部署和完善的远程管理功能在设备信息化建设浪潮中熠熠生辉。
IR900 系列路由器特别适合大规模的机器联网, 例如:● 智能制造 ● 工业自动化 ● 智慧电力 ● 智能医疗 ● 智能交通 ● 安防刑侦 ● 石油、天然气能源 ● 工业机器人 ● 野外大数据 ● 智慧农业● 数字化生产设备等特性和优势InRouter900 规格书+ 支持4G LTE+ 支持高效完成大规模设备网络部署 + 冗余设计,双SIM 卡,双链路备份,保障 设备网络通信不间断 + 多种动态路由协议 + 支持多端口,可划分VLAN + 支持WLAN + 支持GPS+ 支持 SNMP 及映翰通 Device Manager 云平台,实现高效的远程集中网管 + 用户体验计划,优化服务协助管理 + 全工业化设计,无惧恶劣条件的挑战产品尺寸 (mm)针脚 定义 说明1 RXD 串口 RS232 接收 2 TXD 串口 RS232 发送3 GND 串口 RS232 信号地4 A 串 口 RS485 + 5 B 串口 RS485-6 IN 数字量输入信号7 COM 数字量输入接地 8NC 数字量输出信号 9COM数字量输出接地产品规格InRouter900 规格书CE 、FCC 、UL 、PTCRB 、CCC 、V erizon 、A T&T 、E-MARK 、IC 、IMDA 、RCM订购信息InRouter900 规格书型号编号: IR91X-<WMNN>-<W>-S-<GPS><N1>:模块<WMNN>:无线通讯类型 & 模块<W/空>:WLAN (仅IR915)S:串口类型(仅IR915)<G/空>:GPS(仅 IR915)型号IR912L-TL01IR915L-TL01-<W>-S-<GPS>L:含 4G LTE 模块(For China, LTE CAT4)LTE-FDD Band 1/3/5/8LTE-TDD Band 34/38/39/40/41TD-SCDMA Band 34/39WCDMA Band 1/8GSM 900/1800MHzW: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPSIR912L-FQ58IR915L-FQ58-<W>-S-<GPS> L:含 4G LTE 模块(For Europe, Asia & Pacific area, China, ,LTE CAT4 )LTE-FDD Band 1/3/7/8/20/28LTE-TDD Band 38/40/41WCDMA Band 1/2/5/8GSM 850/900/1800/1900MHzW: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPSIR912L-FS18IR915L-FS18-<W>-S-<GPS> L:含 4G LTE 模块(For North America, AT&T,LTE CAT3)LTE-FDD Band 2/4/5/17UMTS(HSPA+) Band 2/4/5EDGE/GPRS/GSM 850/900/1800/1900MHzW: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPSIR912L-FQ39IR915L-FQ39-<W>-S-<GPS> L:含 4G LTE 模块(For North America, T-Mobile, Verizon, AT&T, LTE CAT6)LTE-FDD Band 2/4/5/7/12/13/25/26/29/30/66WCDMA Band 2/4/5W: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPSIR912L-FQ78IR915L-FQ78-<W>-S-<GPS> L:含 4G LTE 模块(For Australia & South America, LTE CAT4)LTE-FDD Band 1/2/3/4/5/7/8/28LTE-TDD Band 40WCDMA Band 1/2/5/8 GSM Band 2/3/5/8W: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPSIR912P-EN00IR915P-EN00-<W>-S-<GPS> 无 3G/4G 模块无 3G/4G 模块W: Wi-Fi<空>: 无 Wi-FS: RS232RS485G: GPS<空>: 无 GPS例子: IR915L-TL00-W-S-G 5口工业无线路由器,支持FDD网络、GPS定位、WLAN、RS232&RS485、I/O接口注:设备初次登录会提示是否加入用户体验计划,同意后默认接入映翰通云平台,用户可在设备服务>用户体验计划菜单中修改。
H3C AR 18-21路由器快速配置
H3C AR 18-21路由器产品介绍H3C AR 18-21路由器是华为3Com公司开发的新一代专业的宽带路由器,它将路由和交换设备有机地结合在一起,为中小企业和网吧提供交换及接入的一体化解决方案。
AR 18-21宽带路由器采用全新的硬件和软件平台,具备更高的数据转发性能和数据加密性能,并且其4个交换网口支持VLAN划分。
该产品功能特性丰富,并支持Web网管、端口镜像等特性,AR 18-21宽带路由器是中小企业和网吧等用户的理想选择。
产品特点多WAN口(1-3个WAN口),支持负载分担和端到端线路检测的备份机制(Auto-detect)高处理性能,CPU主频从200M到400M,带机数量高支持端口镜像、Web网管、DDNS和防BT等功能特征交换端口支持VLAN划分,带S的机型支持硬件加密功能◆路由和交换一体化AR 18-21路由器产品支持4个不等的交换以太网接口,这是一种典型的路由器集成交换机的路由交换一体化产品,特别适合中小企业、企业分支机构和网吧等的综合应用组网。
18-21有4个10/100M以太网交换端口,这些产品的交换端口均支持VLAN的划分,可以满足大多数中小企业的组网及隔离不同业务的要求。
用户只需一台交换路由器,无需购买交换机设备,便可实现多用户接入Internet,节约用户网络建设的费用、增强用户应用的方便性。
AR 18-21具有1个10/100M以太网WAN接口,可实现单出口线路的通信。
这完美地解决了中小企业和网吧用户实现双线路或多线路的通信接入中的负载分担和备份的问题。
◆VPN解决方案AR 18-21路由器集成了VPN网关的功能,通过在路由器上面建立VPN隧道,可以将远程分支机构通过Internet安全、廉价地接入总部网络。
因此对于有大量分支机构需要接入总部的企业,可以用VPN技术来代替昂贵的专线接入。
支持L2TP VPN、GRE VPN、IPSec VPN,轻松的实现企业的各种类型的VPN接入要求。
华为全系列路由器产品详述
AR18-20
1个配置口 1个备份口 1个WAN口(10M) 4个LAN口
(10/100M)
AR18-20S
1个配置口 1个备份口 1个WAN口(10M) 4个LAN口(10/100M) 内置加密芯片
AR 18-2X以太网路由器全部采用以太网接口,接口包括三层和二层的以太 网接口,并且支持VLAN管理特性,该设备将路由器和交换机有机地结合在一 起,是典型的交换路由器产品,部分款型支持内置加密芯片,大大提高了产品 的加密性能。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Quidway AR28系列路由器
Quidway AR28系列包括以下几种型号:
AR28-09/09B路由器
AR28-10/11路由器
AR28-30/31路由器
AR28-40/80路由器
Quidway AR 28系列路由器是面向企业级网络的产品。根据网络规模的不 同,AR 28系列路由器既可以在中小型企业网中担当核心路由器,也可以在 大的企业中担当分支网络的接入路由器,同时适合在电信管理网、计费网等 电信级网络中应用。AR 28系列路由器采用模块化结构,提供了多种可选配 的多功能接口模块(Multifunctional Interface Module,MIM)和智能接 口卡(Smart Interface Card,SIC)。
128Gbps 96Mpps 16 128Gbps 机柜式 双主控板 双交换网板
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
8090产品,8011产品体系结构
路由引擎
电源系统
CPU
H3C之AR18路由器设置实例 --双出口链路备份规范设置
H3C之AR18路由器设置实例 --双出口链路备份规范设置 - 华三-悠悠思科华为网络技术门户双出口链路规范设置双出口举办主备备份在一般呈此刻到一个ISP有两条链路,一条带宽较量宽,一条带宽较量低的情形下。
下面就两种常见的组网给出设置实例。
# 设置自动侦测组1,侦测主用链路的对端地点是否可达,侦测隔断为5s。
detect-group 1detect-list 1 ip address 142.1.1.1timer loop 5## 设置接口应用NAT时引用的ACL。
acl number 2001rule 10 permit source 192.168.1.0 0.0.0.255## 设置在接口上应用的过滤法则,主要用于进攻防御,猛烈发起设置。
acl number 3001rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-nsrule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgmrule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 142.1.1.2 0rule 3000 deny ipacl number 3002rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 162.1.1.2 0rule 3000 deny ipacl number 3003rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2010 deny ip source 192.168.1.1 0rule 2030 permit ip source 192.168.1.0 0.0.0.255rule 3000 deny ip## 设置广域网接口E1/0,对入报文举办过滤(所有出报文均需要做NAT时可以差池入报文举办过滤),对出报文举办NAT。
路由器基础知识
默认路由
是指作为“最后手段”的出口, 是指作为“最后手段”的出口,亦即通向路由器不知 道的目的地的业务量将被送到这个默认出口。 道的目的地的业务量将被送到这个默认出口。对于和 单出口点连接的域,默认路由是最容易的选路形式。 单出口点连接的域,默认路由是最容易的选路形式。
路由表
在路由表中,对每一条路由,最主要的是 (目的网络地址,下一跳地址)
路由选择处理机 3——网络层 2——数据链路层 1——物理层
输入端口 1 2 … 输入端口 1 2 3 3 分组处理 转发表 3 路由选择协议 路由表 输出端口 2 … 输出端口 3 2 1 1
路由 选择
分组 转发
交换结构
路由的基本概念
路由的任务就是在发送者和目的地之间寻找一条 通道, Internet” 模式下, 通道,在IP 的“Internet 模式下,被简化为在 源网络和目的网络之间寻找一系列的路由器的模 式(互联网是指用路由器互连的网络)。 只要一个消息到达一个单一网络或是子网,就由 只要一个消息到达一个单一网络或是子网, 那个具体的网络来解决路由的问题。 那个具体的网络来解决路由的问题。当一个消息 必须从一个网络的发送者到另一个网络的目的地 时就必须使用IP路由。 时就必须使用IP路由。 IP路由
路由器功能划分
转发引擎
转发引擎功能负责把IP包从自身的输入端快速地真实地转 发到输出端。而为了转发一个IP包,转发引擎使用了两种 信息资源:一个是路由器维护的路由转发表,另一个是IP 包自身携带的信息。
路由引擎
而路由引擎则是负责建立并且维护路由转的路由器的结构
206.0.71.128/25 206.0.71.128/26 206.0.71.192/26
一系
H3C产品列表-路由器部分
H3C产品列表IP网络产品路由器系列H3C SR8800 系列路由器SR8800核心业务路由器(以下简称SR8800)是华为3Com公司面向企业网应用而推出的新一代核心业务路由器,该产品融合了华为3Com 自适应安全技术理念,将安全融入到网络之中,集成了防火墙、安全网关、网络流量分析等功能,解决了以往依赖单台设备、单一功能、独立部署的防护方式。
可广泛应用于行业网、大型园区网、IDC网络的骨干位置。
H3C SR8800提供超强的路由处理能力、丰富的接口和高品质业务,提供形式多样的广域网接口,满足丰富的接入方式的需求。
内置高性能的业务处理引擎,能够支持MPLS VPN业务的线速转发,适用大型企业组建高性价比VPN业务网络。
H3C MSR 50 系列路由器H3C MSR 50-40路由器H3C MSR 50-60路由器MSR(Multiple Services Router)多业务开放路由器是华为3Com公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。
MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。
企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。
MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。
网络-MSR20-1X系列路由器同ISR18系列及800系列路由器的对比分析
870系列集成多业务路由器分析--硬件规格
思科“870集成多业务路由器”的硬件规格(来源于思科网站,但很多数据没有):
产品型号 对比项目
内存(缺省/最大)
闪存(缺省/最大)
WAN接口
871/871w
128/256M 24/52M 1个FE
876/876w
877/877w
878/878w
128/256M
思科在其ISR18系列之前推出的800系列路由器(870系列开发时期可能晚一些,能够支持 无线和IPv6,基本具备ISR18系列特征,应该算例外),基本上是属于其老一代的产品,但从接 口类型及产品定位上将与ISR18系列产品类似,思科800系列与ISR18系列之间的关系,其实这与 H3C的AR18与MSR 20-1X系列设备的关系非常类似,前者都是老一代的产品,在产品定位和应 用需求上都可以被后者替代,而后者都是定位多业务集成的新一代产品,支持IPv6和WLAN无 线的应用,在性能和业务能力上都有了很大提高。不过,思科和我司在产品策略上有些差别, 我司计划今年会逐渐对AR18系列产品进行停产,并全面替代AR18系列产品和大力推展新产品, 而从思科网站上看还没有看到其停止其800系列产品的计划,可能是思科主要考虑的是800系列 产品的成本优势,预计思科会最终停止其800系列产品销售的。
网络安全 端点间VPN、URL过滤、入侵防御IPS、动态多点VPN(DMVPN)、AutoSecure、Cisco Easy VPN 远程客户端和服务器、网络准入控制(NAC)、
无线网络 集成的IEEE 802.11a/b/g、无线WLAN、多个天线选项、Wi-Fi 保护访问WPA
网络管理 与易用性
特性类别 特性描述
路由协议 和通用路 由器特性
LINKSYS WRT54GC-CN路由器 说明书
14
图 5-2: 路由器登录屏幕
14
图 5-3: 设置选项卡 - 基本设置
14
图 5-4: 静态 IP 连接类型
15
图 5-5: PPPoE 连接类型
15
图 5-6: PPTP 连接类型
16
图 5-7: 静态 DHCP 客户端列表
17
图 5-8: DHCP 客户端表
17
图 5-9:
第 1 章:简介
3
本指南的内容
迷你型 Wireless-G 宽带路由器
第 2 章 : 规划您的无线网络
网络拓扑
无线局域网 (WLAN) 与常规局域网 (LAN) 非常类似,不同之处在于 WLAN 中每台计算机都使用无线设 备连接到网络上。 WLAN 中的计算机共享相同频率通道和 SSID, SSID 是由属于同一无线网络的无线 设备共享的标识名称。
• 附录 C:升级固件 本附录指导您如何在路由器上的固件需要升级时执行升级操作。
• 附录 D:Windows 帮助 本附录介绍如何使用 Windows 帮助,以获得有关网络 (如安装 TCP/IP 协议)的指导。
• 附录 E:查找以太网适配器的 MAC 地址和 IP 地址 本附录介绍了如何查找计算机以太网适配器的 MAC 地址,以便可以使用路由器的 MAC 筛选和 / 或 MAC 地址克隆功能。
但是,这些优势意味着什么呢?
网络是用于共享计算机资源的实用工具。您既可以从不同的计算机访问一个打印机,也可以访问位 于其他计算机硬盘驱动器中的数据。网络甚至可以用于多人视频游戏。因此,网络不仅适用于家庭 和办公室,而且还可以进行娱乐。
有线网络上的 PC 可以创建 LAN,即局域网。它们使用以太网电缆连接起来,这就是网络被称为 “有线”的原因。
华三路由器产品培训
MP2700-8/16/24
MPC8270 266M(无内臵硬加 密) 64M/8M(DRAM内存) 1个配臵口 2个100M以太口 三型号分别有8/16/24个交换口
锐捷2700
RISC 300M(内臵硬件加密)
128M/32M(SDRAM) 1个配臵口, 1个AUX口 2个100M以太口
CPU主频
24
18 2个小卡SIC插槽 1个大卡NM插槽,1个超大卡 NM2插槽 NM-2FE NM-2HAS/4HAS(同异步串口) NM-8A/16A(8/16异步串口模块) NM-2cE1/4cE1 NM-1B-S/T(ISDN S/T模块) NM-1B-U/2B-U(ISDN U模块) NM-4FXS/8FXS NM-4FXO NM-1E1V1 AIM-VPN(硬件加密模块) NM2-16ESW/24ESW(交换模块) SIC-1HAS(单口同步口模块) 22
面向市场:网络设备向边缘发展需要多业务集成的小型网关,MSR 20-1X为 多业务网关提供了灵活、完善的解决方案。
项目
转发性能 固定WAN以太 口 固定WAN其它 接口 固定交换口(二 层) 模块插槽 WLAN支持
MSR 20-10
160Kpps 1个百兆接口 - 4个百兆以太网 接口 1个DSIC插槽 可选支持
H3C MSR系列
MSR201X MSR 20-20/MSR2021 MSR 20-40 /MSR3011 MSR3016 MSR 30-20/40/60 MSR5040/60 MSR50(2M引擎)未来提供
13
目录
MSR系列路由器介绍
中低端路由器整体策略 中低端路由器竞争分析-Cisco MSR系列路由器配臵
路由基础试题
路由基础试题一、单项选择题(每题1分)1、以下属于分组交换的是()A、PSTN网B、ATMC、X.25网D、有线电视网2、以下关于分组交换理解错误的是()A、共享带宽B、能够方便的保证服务质量C、费用低D、每一分组中均包含目的地地址3、 10BASE-T是指()A、粗同轴电缆B、细同轴电缆C、双绞线D、光纤4、以下属于物理层的设备是()A、中继器B、以太网交换机C、桥D、网关5、在以太网中,是根据()地址来区分不同的设备的。
A、LLC地址B、MAC地址C、IP地址D、IPX地址6、 IEEE802.5标准是指()A、以太网B、令牌总线网C、令牌环网D、FDDI网7、 B类地址能容纳的最大主机数为()A、65533B、65534C、65535D、655368、当一台主机从一个网络移到另一个网络时,以下说法正确的是()A、必须改变它的IP地址和MAC地址B、必须改变它的IP地址,但不需改动MAC地址C、必须改变它的MAC地址,但不需改动IP地址D、MAC地址、IP地址都不需改动9、在无盘工作站向服务器申请IP地址时,使用的是()协议A、ARPB、RARPC、ICMPD、IGMP10、127.0.0.1代表的是()地址。
A、广播地址B、组播地址C、E类地址D、自环地址11、224.0.0.5代表的是()地址。
A、主机地址B、网络地址C、组播地址D、广播地址12、192.168.1.255代表的是()地址A、主机地址B、网络地址C、组播地址D、广播地址13、172.16.10.32 MASK 255.255.255.224代表的是()地址A、主机地址B、网络地址C、组播地址D、广播地址14、与NOVELL的SPX协议对应于同一层的协议是()A、IPB、TCPC、MACD、以上答案均不对15、当路由器接收的IP报文的TTL值等于0时,采取的策略是()A、丢掉该分组B、将该分组分片C、转发该分组D、以上答案均不对16、当路由器接收的IP报文的目的地址不在同一网段时,采取的策略是()A、丢掉该分组B、将该分组分片C、转发该分组D、以上答案均不对17、TCP协议通过()来区分不同的连接。
网络-中兴ZXR10系列中低端路由器分析
总体情况介绍(续一)
中兴通信公司的数据通信产品系列非常多,无论是从交换机还是路由器产品来 看,都是从高到低全线覆盖。下面是其路由器产品线的总体分布情况,其中涉及到 同MSR系列产品竞争的是其GAR、ZSR及800系列中低端路由器产品。
ZXR10 ZSR7600 定位于行业网骨干节点和城域网/NGN承载网边缘(转发性能在
数据通信产品这个领域对于中兴来说就是这么一个比较薄弱的环节,中兴在这 个领域其实也搞了很长时间,又是OEM别人的设备又是买软件,但产品竞争力一直 不行,品牌起不来销售额也上不去。从去年开始中兴公司有意加大数据通信产品的 力度,在产品的开发上加大投入,同时在拓展销售渠道上下功夫。对于中兴的路由 器和交换机产品,就不可避免地要遭遇到华三产品的竞争,而在中低端产品领域, 还会碰到国内二流厂家的竞争,如锐捷、迈普、博达等公司的竞争。从目前的情况 来看,中兴因为一直同运营商有合作关系,因此在运营商有些基础和优势,但其它 行业还差得很远。最近我们在一些领域也经常能碰到中兴的竞争,如政府、电力等 行业。中兴要想在企业网或行业市场有较大的作为至少还有很长的路要走,但中兴 公司的整体实力上比国内其它厂商要强,还是需要我们要加以注意和认真对待。
第4位数字是“4”,表示自带2个GE加2个FE)
ZSR智能集成多业务路由器分析--硬件规格
中兴“ZSR智能集成多业务路由器”的硬件规格(来源于中兴网站,但很多规格没有):
产品型号 固定以太口 扩展槽数 AIM槽位 CONSOLE AUX USB接口 转发性能
支持的模块
1822
1842 2822 2842 2882 2884 3822 3842 3882
ZXR10 GER通用高 城域网汇聚层、业务路由器、企业网、校园网或园区网核心层( 转
网络空间安全技术教学课件第18章 安全防护策略变迁
4.1 安全理念
为判断网络安是否足够安全,首先要有方方面面的数据来支撑进一步分析。持续监测的理念一方面 强调持续,即以适当的频率收集数据;另一方面强调监测,即收集网络中的各种安全数据、状态数 据等能体现安全态势的数据。
通过多方面分析这些数据,对网络安全态势、风险等级进行评估,并将分析评估结果可视化,展现 给管理网络安全风险的决策者。只有决策者全面了解了整个网络的安全状态后,才能结合机构的实 际情况调整信息安全策略。单靠持续监测无法解决所有的安全问题,但可以让用户更了解自己的安 全状况,不断改善安全策略,能够以积极主动的姿态防御安全威胁。
5 主动防御
主动防御(也称为动态防御)是与被动防御相对应的概念,就是在入侵行为对信息系统发生 影响之前,能够及时精准预警,实时构建弹性防御体系,避免、转移、降低信息系统面临的 风险。
现有的网络安全防御体系综合采用防火墙、入侵检测、主机监控、身份认证、防病毒软件、漏洞修补等 多种构筑堡垒式的刚性防御体系,阻挡或隔绝外界入侵,这种静态分层的深度防御体系基于先验知识, 在面对一直攻击时,具有反应迅速、防护有效的优点,但在对抗未知攻击对手时则力不从心,且存在自 身易被攻击的危险
2 网络边界防护
网络边界是指内部安全网络与外部非安全网络的分界线。由于网络中的泄密、攻击、病毒 等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。网络 攻击入侵者通过互联网与内网的边界进入内部网络,篡改存储的数据,实施破坏,或者通 过某种技术手段降低网络性能,造成网络的瘫痪。
5.2 国内外应对措施
1、“爱因斯坦”计划 2、移动目标防御体系(MTD)建设 3、网络空间拟态防御理论 4、动态赋能网络空间防护体系 (1)攻击者难以发现目标。 (2)攻击者发现目标是错误的。 (3)攻击者发现了目标但是无法实施攻击。 (4)攻击者能实施攻击但不能持续。 (5)攻击者能实施攻击但能快被检测到。
18网络设备安全管理习题
1、下面关于IP协议的描述,不正确的是()A. 提供一种“尽力而为”的服务B. 是一种面向连接的可靠的服务C. 是TCP/IP体系网络层唯一的一个协议D. 由于IP协议的PDU称为分组,所以IP网络也称为分组网络2、下面关于ARP工作原理的描述,不正确的是()A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C. ARP请求报文可以跨网段传输D. ARPA是通过AMC查询对应的IP地址3、ARP欺骗的实质是()A. 提供虚拟的MAC与IP地址的组合B. 让其他计算机知道自己的存在C. 窃取用户在网络中传输的数据D. 扰乱网络的正常运行4、在Windows操作系统中,对网关IP和MAC地址进行绑定的操作为()A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ffB. ARP –d 192.168.0.1 00-0a-03-aa-5d-ffC. ARP –s 192.168.0.1 00-0a-03-aa-5d-ffD. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff5、无法提供DHCP服务的设备可能是()A. 无线路由器B. 交换机C. 集线器D. 运行Windows 2008操作系统的计算机6、DHCP Snooping的功能是()A. 防止ARP欺骗B. 防止DHCP欺骗C. 进行端口与MAC地址的绑定D. 提供基于端口的用户认证7、TCP SYN泛洪攻击的原理是利用了()A. TCP三次握手过程B. TCP面向流的工作机制C. TCP数据传输中的窗口技术D. TCP连接终止时的FIN报文8、在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行()A. ARP –aB. ipconfig/allC. netstat –nabD. ne -ab9、DNS的功能是()A. 建立应用进程与端口之间的对应关系B. 建立IP地址与域名之间的对应关系C. 建立IP地址与MAC地址之间的对应关系D. 建立设备端口与MAC地址之间的对应关系10、当用户通过域名访问某一合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是()A. ARP欺骗B. DHCP欺骗C. TCP SYN攻击D. DNS缓存中毒11、DNSSEC中并未采用()A. 数字签名技术B. 公钥加密技术C. 对称加密技术D. 报文摘要技术12、死亡之ping属于()A. 冒充攻击B. 拒绝服务攻击C. 重放攻击D. 篡改攻击13、泪滴使用了IP数据报中的()A. 段位移字段的功能B. 协议字段的功能C. 标识字段的功能D. 生存期字段的功能14、ICMP泛洪利用了()A. ARP命令的功能B. tracert命令的功能C. ping命令的功能D. route命令的功能15、将利用虚假IP地址进行ICMP报文传输的攻击方法称为()A. ICMP泛洪B. LAND攻击C. 死亡之pingD. Smurf攻击16、以下哪一种方法无法防范口令攻击()A. 启用防火墙功能B. 设置复杂的系统认证口令C. 关闭不需要的网络服务D. 修改系统默认的认证名称17、DNS缓存中毒属于()A. 假消息攻击B. 信息收集型攻击C. 利用型攻击D. 拒绝服务攻击18、在DDoS攻击中,通过非法入侵并被控制,但并不向被攻击者直接发起攻击的计算机称为()A. 攻击者B. 主控端C. 代理服务器D. 被攻击者19、对利用软件缺陷进行的网络攻击,最有效的防范方法是()A. 及时更新补丁程序B. 安装防病毒软件并及时更新病毒库C. 安装防火墙D. 安装漏洞扫描软件20、在IDS中,将收集到的信息与数据库中已有的记录进行比较,从而发现违背安全策略的行为,这类操作方法称为()A. 模式匹配B. 统计分析C. 完整性分析D. 只确定21、IPS能够实时检查和阻止入侵的原理在于IPS拥有众多的()A. 主机传感器B. 网络传感器C. 过滤器D. 管理控制台22、以下设备和系统中,不可能集成防火墙功能的是()A.集线器B. 交换机C. 路由器D. Windows Server 2003操作系统23、对“防火墙本身是免疫的”这句话的正确理解是()A. 防火墙本身是不会死机的B. 防火墙本身具有抗攻击能力C. 防火墙本身具有对计算机病毒的免疫力D. 防火墙本身具有清除计算机病毒的能力24、在以下各项功能中,不可能集成在防火墙上的是()A. 网络地址转换(NAT)B. 虚拟专用网(VPN)C. 入侵检测和入侵防御D. 过滤内部网络中设备的MAC地址25、当某一服务器需要同时为内网用户和外网用户提供安全可靠的服务时,该服务器一般要置于防火墙的()A. 内部B. 外部C. DMZ区D. 都可以26、以下关于状态检测防火墙的描述,不正确的是()A. 所检查的数据包称为状态包,多个数据包之间存在一些关联B. 能够自动打开和关闭防火墙上的通信端口C. 其状态检测表由规则表和连接状态表两部分组成D. 在每一次操作中,必须首先检测规则表,然后再检测连接状态表27、以下关于传统防火墙的描述,不正确的是()A. 即可防内,也可防外B. 存在结构限制,无法适应当前有线和无线并存的需要C. 工作效率较低,如果硬件配置较低或参数配置不当,防火墙将成形成网络瓶颈D. 容易出现单点故障28、在分布式防火墙系统组成中不包括()A. 网络防火墙B. 主机防火墙C. 中心管理服务器D. 传统防火墙29、下面对于个人防火墙的描述,不正确的是()A. 个人防火墙是为防护接入互联网的单机操作系统而出现的B. 个人防火墙的功能与企业级防火墙类似,而配置和管理相对简单C. 所有的单机杀病毒软件都具有个人防火墙的功能D. 为了满足非专业用户的使用,个人防火墙的配置方法相对简单30、下面对于个人防火墙未来的发展方向,描述不准确的是()A. 与xDSL Modem、无线AP等网络设备集成B. 与防病毒软件集成,并实现与防病毒软件之间的安全联动C. 将个人防火墙作为企业防火墙的有机组成部分D. 与集线器等物理层设备集成判断题1、网络入侵即网络攻击。
华为双出口网络解决方案配置指导命令详解
好网吧好网络——华为3COM网吧网络解决方案之网关配置指导——华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.目录第一部分配置原则概述 (3)1需要注意的配置事项 (3)1.1配置ACL对非法报文进行过滤 (3)1.1.1进行源IP和目的IP过滤 (3)1.1.2限制ICMP报文 (5)1.1.3限制netbios协议端口 (5)1.1.4限制常见病毒使用的端口 (6)1.1.5关闭没有使用的端口 (7)1.2NAT配置注意事项 (7)1.3路由配置注意事项 (7)1.4进行IP-MAC地址绑定 (8)1.5限制P2P应用(根据实际情况可选) (8)1.5.1通过ACL限制端口 (8)1.5.2结合QOS和ACL限制端口流量 (9)1.5.3限制单机的NAT会话数 (11)1.5.4在客户机上通过软件限制 (11)2附:限制常见P2P软件端口的ACL (11)第二部分典型配置实例 (12)1单出口典型配置 (12)1.1局域网内的主机地址是私网IP地址 (12)1.2局域网内的主机地址是公网IP地址 (19)2双出口链路备份典型配置 (27)2.1两条链路都是以太网链路的情况 (27)2.2两条链路是以太网链路+PPPOE链路的情况 (36)3双出口同时实现负载分担和链路备份典型配置 (45)第一部分配置原则概述随着网络建设和应用的不断深入,网络安全问题正逐渐成为一个突出的管理问题。
AR18系列路由器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施各种防攻击策略。
尤其在网吧这种复杂的网络环境中,全面合理的配置能够大大提高网络的稳定性和可靠性。
由于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议种类多、流量复杂等特点。
一般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用来发起网络攻击,或者被他人攻击,这就对网吧中的核心设备――网关提出了较高的要求。
AR18掉线解决办法03-网吧故障排除
网吧故障排除FAQHangzhou Huawei-3Com Technology Co., Ltd.杭州华为3Com技术有限公司All rights reserved版权所有侵权必究网吧故障排除FAQ 目录目录1介绍 (1)2FAQ (2)2.1问题现象:通过web配置PPPoE拨号后大部分网页无法打开 (2)2.2问题现象:通过路由器下载速度慢,不使用路由器直接连接上行线路没有问题 (2)2.3问题现象:用户使用双线路上网速度慢,断调其中一条线路后恢复正常 (3)2.4问题现象:用户使用双线路上网速度,发现一些特定的网站或者游戏运行不正常 (3)2.5问题现象:用户反馈使用路由器会出现周期性全网中断的情况,无法ping通网关和外网 (4)2.6问题现象:用户反馈路由器偶尔出现上网速度很慢的情况,ping网关和外网延时很大 (4)2.7问题现象:用户反馈只要网吧内有用户使用BT或者迅雷下载其它用户就会出现玩游戏卡的现象62.8问题现象:用户反馈AR18-23-1只有后面两个端口可用,前面两个端口插上线灯不亮,无法使用72.9问题现象:用户在上网高峰期时上网速度慢,并且NAT session数达到4万多条: (7)2.10其它问题: (7)2.10.1浙江某网吧用户反馈182224使用CAR限速不起作用 (7)2.10.2杭州某网吧在AR18-22-24上面划分Vlan之后,Vlan之间无法互通 (8)2.10.3泉州某网吧用户使用AR18-22,做虚拟服务器,希望内网、外网都能通过域名访问。
. 82.10.4问苏州某网吧反馈网吧更换AR1863路由器后,出现局域网主机无法上网,ping通网关的情况84/20/2013 版权所有,侵权必究第i页网吧故障排除FAQ关键词:故障,网吧、FAQ,摘要:本文主要介绍AR18系列路由器在网吧使用过程中经常碰到的故障及其解决方法。
缩略语:1 介绍AR18系列路由器提供强大的转发性能及其丰富的应用特性,尤其是H3C AR 18-63-1是华为3COM公司以H3C品牌推出的一款高性能的全GE的固定接口以太网路由器,它主要是定位于以太网接入的SMB市场、政府或企业分支机构的应用,如需出口带宽高的网吧、酒店和学校,政府部分的电子政务网应用,等等。
路由器硬件基础知识-交换网(V2.0)
目录交换网 (1)1.1 交换网发展史简介 (1)1.2 交换网相关术语 (2)1.2.1 背板容量(Backplane Capacity) (2)1.2.2 交换网容量(Switching Capacity) (3)1.2.3 加速比(Speedup Factor) (4)1.2.4 交换网的备份方式(Backup) (4)1.2.5 交换网吞吐量(Fabric Throughput) (5)1.2.6 交换网延时(Fabric Latency) (5)1.2.7 交换网扩展性(Fabric Scalability) (5)1.2.8 单播、组播、反压 (5)1.2.9 交换网性能评估参数 (6)1.3 交换网的分类 (6)1.3.1 根据上送交换网的报文类型分类 (6)1.3.2 根据缓存所处交换网的位置分类 (7)1.3.3 根据数据交换次数分类 (8)1.3.4 根据数据通过交换网的方式分类 (8)1.4 交换网发展历程与趋势 (9)1.4.1 共享总线式交换网(第1代交换网) (9)1.4.2 共享内存式交换网(第2代交换网) (9)1.4.3 交叉矩阵式交换网(第3代交换网) (11)1.4.4 交换网发展趋势 (15)1.5 华为路由器交换网 (16)1.5.1 NE80E/NE40E交换网 (16)1.5.2 NE5000E交换网 (17)1.6 FAQ (18)1.6.1 如何从交换网容量计算其所支持的业务板接口容量? (18)1.6.2 NE40E/NE80E/NE5000E的交换网是否可以混插? (19)1.6.3 NE40E/NE80E/NE5000E的交换网能否不满配使用? (19)1.6.4 NE40E/NE80E/NE5000E的交换网是否支持热插拔? (19)1.6.5 NE40E-X3有交换网单元吗? (19)1.7 修订记录 (20)ii 华为所有和机密文档版本02 (2014-08-26)交换网1.1 交换网发展史简介交换网技术是现代通信中最重要的技术之一,它实现信息从发送端到接收端传输。
湖北电信IP城域网SR路由器(华为NE40E)配置规范V1.0
湖北电信城域网SR路由器华为NE40E设备配置规范中国电信湖北分公司2011年7月版本更新说明V1.0版本为文档定稿版,后期的版本为修订版,版本的序号为《湖北电信城域网SR路由器华为NE40E-X16设备配置规范-VX.X-YYYYMMDD》,修订说明填写在“主要更新内容”中。
目录第1章概述 (1)1.1 术语和缩写语表 (1)1.2 网络结构说明 (3)第2章IP城域网网络设备命名及链路描述规范 (4)2.1 设备命名规范 (4)2.1.1适用范围 (4)2.1.2设备命名规范格式 (4)2.2 端口描述规范 (5)2.2.1环回接口描述 (5)2.2.2网络接口描述规范 (6)2.2.3用户端口 (7)2.2.4空闲端口 (8)第3章华为SR设备基本配置规范 (9)3.1 系统基本配置规范 (9)3.1.1设备名称配置 (9)3.1.2Banner配置 (9)3.1.3设备自身时间及NTP (9)3.1.4Telnet配置 (11)3.1.5AAA配置 (13)3.1.6VRF配置 (16)3.1.7系统高可靠性配置 (17)3.2 端口配置规范 (18)3.2.1MTU值设计 (18)3.2.2Loopback接口配置 (18)3.2.3GE接口配置 (18)3.2.4GE子接口接口配置 (21)3.2.5端口镜像配置 (22)3.3 路由协议配置规范 (22)3.3.1城域网路由架构概述 (22)3.3.2路由优先级/管理距离 (23)3.3.3静态路由配置 (23)3.3.4ISIS配置 (24)3.3.5BGP配置 (30)3.4 MPLS标签配置规范 (35)3.4.1MPLS全局配置 (35)3.4.2LDP协议配置 (36)3.5 网管配置 (38)3.5.1SNMP管理代理配置 (38)3.5.2故障管理配置 (40)3.6 Q O S配置规范 (43)3.6.1QOS体系 (43)3.6.2采取的QOS策略 (43)3.6.3配置举例 (44)3.7 组播配置规范 (45)3.7.1组播概述 (45)3.7.2组播配置 (45)第1章概述为保证城域网的运行质量,实现易维护、可管理、集中维护的需要,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
0SPF是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用0SPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。与RIP不同,OSPF将一个自治域再划分为区,相应地即有两种类型的路由选择方式:当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。这就大大减少了网络开销,并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便。
2. 路由算法
路由算法在路由协议中起着至关重要的作用,采用何种算法往往决定了最终的寻径结果,因此选择路由算法一定要仔细。通常需要综合考虑以下几个设计目标:
(1)最优化:指路由算法选择最佳路径的能力。
(2)简洁性:算法设计简洁,利用最少的软件和开销,提供最有效的功能。
3. 三层交换
自从 Ipsilon在1994年推出一次路由再交换IP Switching技术之后,各大公司纷纷推出了 各自专有的三层交换技术,在综合所有三层交换技术优势之后,IETF终于在1998年推 出了性能优越的多协议标记交换(MPLS)。与一次路由再交换技术相比,MPLS多 网络结构这一更高层次来考虑三层交换技术,力图一举解决三层交换网络流量管理问 题,目前这一技术的研究仍在进行中。
(1)访问控制的设定
路由器的访问控制的设定一般是通过PAP(口令认证协议)和CHAP(高级口令认证协议)两种协议来实现的。PAP要求登录者向目标路由器提供用户名和口令,与其访问列表(Access List)中的信息相符才允许其登录。它虽然提供了一定的安全保障,但用户登录信息在网上无加密传递,易被人窃取。CHAP便应运而生,它把一随机初始值与用户原始登录信息(用户名和口令)经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的,且由于随机初始值每次不同,用户每次的最终登录信息也会不同,即使某一次用户登录信息被窃取,黑客也不能重复使用。需要注意的是,由于各厂商采取各自不同的Hash算法,所以CHAP无互操作性可言。要建立VPN需要VPN两端放置相同品牌路由器。
(3)按VPN的发起方式划分:VPN可分为客户发起VPN和服务器发起VPN两种,客户发起(也称基于客户的)它是VPN服务提供的起始点和终止点是面向客户的,其内部技术构成、实施和管理对VPN客户可见。而服务器发起(也称客户透明方式或基于网络的)是在公司中心部门和ISP处(称为POP)安装VPN软件,客户无须安装任何特殊软件。
之十八》主要路由器技术
路由器我们知道是一个相当复杂的设备,它的复杂性并不在于它的硬件如何庞大,而在于它的软件技术相当复杂。目前全球能生产出中、高档路由器的也只有少数的那么几家,国内就更少了。为了对路由器技术有一个较全面的了解,本节就路由器技术的几个重要方面作如下介绍。
一、主要路由协议
(4)按目前运营商所开展的类型划分:VPN可分为拨号VPN和虚拟租用线两类。拨号VPN业务(VPDN)就是第一种划分方式中的VPDN。虚拟租用线(VLL):是对传统的租用线业务的仿真,以IP网络对租用线进行模拟,而这样一条虚拟租用线两端的用户看来,该虚拟租用线等价于过去的租用线。
虚拟专用路由网(VPRN)业务包括两类:一是使用传统的VPN协议,如 IPSec、GRE等实现的VPRN。另外一种是MPLS方式的VPN。路由器的VPN技术解扩大的需要,BGP还在不断地发展。在最新的BGp4中,还可以将相似路由合并为一条路由。
在一个路由器中,可同时配置静态路由和一种或多种动态路由,它们各自维护的路由表都提供给转发程序。但这些路由表的表项间可能会发生冲突,这种冲突可通过配置各路由表的优先级来解决。通常静态路由具有默认的最高优先级,当其它路由表表项与它矛盾时,均按静态路由转发。
RIP使用非常广泛,它简单、可,便于配置,但RIP只适用于小型的同构网络,因为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。
(2)OSPF路由协议
80年代中期,RIP已不能适应大规模异构网络的互连,0SPF随之产生。它是网间工程任务组织(1ETF)的内部网关协议工作组为IP网络而开发的一种路由协议。
(1)RIP路由协议
RIP协议最初是为Xerox网络系统的Xerox parc通用协议而设计的,是Internet中常用的路由协议。RIP采用距离向量算法,即路由器根据距离选择路由,所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样,正确的路由信息逐渐扩散到了全网。
(1)按接入方式划分:VPN可以分为专线VPN和拨号VPN以下两类,专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN实现方案。拨号VPN(又称VPDN)是指为利用拨号PSTN或ISDN接入 ISP的用户提供的VPN业务。
(2)按协议类型划分:VPN又可以分为第二层隧道协议和第三层隧道协议两类。第二层隧道协议包括:点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)。 而第三层隧道协议包括:通用路由封装协议(GRE)、IP安全(IPSec)协议。MPLS隧道协议可以看成在第二层和第三层之间。
(3)BGP和BGP-4路由协议
BGP是为TCP/IP互联网设计的外部网关协议,用于多个自治域之间。它既不是基于纯粹的链路状态算法,也不是基于纯粹的距离向量算法。它的主要功能是与其它自治域的BGP交换网络可达信息。各个自治域可以运行不同的内部网关协议。BGP更新信息包括网络号/自治域路径的成对信息。自治域路径包括到达某个特定网络须经过的自治域串,这些更新信息通过TCP传送出去,以保证传输的可性。
1. 硬件体系结构
高速IP路由器通常借鉴ATM方法,采用交开关方式实现各端口之间的线速 无阻塞互连。高速交开关技术已经十分成熟,在ATM交换机和高速交行计算机中广泛应用,市场上可直接买到高速交开关速率就高达50Gbps的设备。
2. ASIC技术
由于厂商需要降低成本,ASIC技术在路由器中得到了越来越广泛的应用。在路由 器中,要极大地提高速度,首先想到的是ASIC,有的用ASIC做包转发,有的用ASIC查 路由,并且已经有专门用来查找IPv4路由的ASIC芯片商用。一般来说,ASIC只用于已 完全标准化的处理,而网络的结构和协议变化频繁,因此相应地在网络设备这一领域 ,出现了可编程ASIC。目前,有两种类型的可编程ASIC,一种以3Com公司为 主的FIRE(Flexible Intelligent Routing Engine)芯片为代表。另一种以Vertex Networks的HISC专用芯片为代表,这颗芯片是一颗专门为通信协议处理而设计的CPU, 通过改写微码,可使这颗专用芯片具有同协议的能力。
(2)通信数据加密
我们知道数据加密过程中加密位数是一个很重要的参数,它直接关系到解密的难易程度,所以路由器所采用的数据加密技术在加密位数方面非常注重,如其中Intel 9000系列路由器表现最为优异,为一百多位加密,一般都有56位或64位。
(3)NAT技术
NAT的英文全称为Network Address Translation,中文名就叫做网络地址转换协议。如同用户登录信息一样,IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递,到达目标路由器后反翻译成合法IP与MAC地址,翻译算法厂商各自有不同标准,不能实现互操作。
以上所介绍的是路由器硬件方面所采取的技术,在软件方面同样具有许多先进技术,具体如下:
1. VPN技术
VPN的英文全称就是Virtual Private Network,中文名为虚拟专用网,它是路由器具有的重要技术之一。VPN是指在公用网络上建立虚拟私有网,可以从不同的角度对VPN进行分类:
静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。
1. 路由协议种类
根据是否在一个自治域(AS)内部使用,动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议,常用的有RIP、OSPF;外部网关协议主要用于多个自治域之间的路由选择,常用的是BGP和BGP-4。下面分别进行简要介绍。
路由协议是路由器软件中重要的组成部分。路由器的路由功能就是通过这些路由协议来实现的,路由协议的作用是用来建立以及维护路由表。路由表是记录一些转发数据到已知目的节点的最佳路径,有了它,只需直接按路径转发数据包即可,可大大提高数据转发的速度和效率。
典型的路由选择方式有两种:静态路由和动态路由。静态路由是在路由器中设置的固定的路由表,除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。而动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。