史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-16, 05:01 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 路由器 IOS 昇級方法總結

路由器 IOS 昇級方法總結
在介紹CISCO路由器IOS昇級方法前,有必要對Cisco路由器的儲存於器的相關知識作以簡單介紹。路由器與電腦相似,它也有記憶體和作業系統。在Cisco路 由器中,其作業系統叫做互連網作業系統(Internetwork Operating System),常簡稱為IOS。路由器的儲存於器主要有:
ROM:唯讀儲存於器包含路由器正在使用的IOS的一份副本;
RAM:IOS將隨機訪問儲存於器分成共享和主存。主要用來儲存於執行中的路由器組態和與路由傳輸協定有關的IOS資料結構;
FLASH (FlashRom):用來儲存於IOS軟體映像文件,FlashRom是可以擦除記憶體,它能夠用IOS的新版本覆寫,IOS昇級主要是FlashRom中的IOS映像文件進行更換。

NVRAM:非易失性隨機訪問儲存於器,用來儲存於系統的組態文件。

IOS昇級方法一

在對能夠正常啟動的CISCO路由器的IOS進行昇級時,比較簡單。具體步驟如下:

1、尋找一種TFTP伺服器軟體(有CISCO公司的TFTPServer或3COM公司的3Cserver等,在昇級較大IOS映像文件時,建議用3Cserver),安裝在一台電腦上,將要昇級的IOS映像檔案拷貝到相關的目錄中(例:D:\),並執行TFTP伺服器軟體,通過表單設定Root目錄為拷貝IOS映像文件所在目錄(如D:\)。假設該電腦的IP位址為10.32.10.1;

2、連接路由器的console口與PC機的COM1,使用PC的超級終端軟體訪問路由器,將路由器的位址設為10.32.10.32(與電腦的IP位址同網段即可)。建議在進行IOS昇級前將原有IOS文件制作備份下來,防止待昇級的IOS文件存在問題不可用;




Router# dir flash: (檢視目前IOS映像檔案名,也可用Router#Show version)

Directory of flash:/

1 -rw- 5998292 C2600-I-MZ.122-11.BIN

8388608 bytes total (2390252 bytes free)

Router#copy flash tftp (制作備份IOS文件)

Source filename []?c2600-i-mz.122-11.bin

Address or name of remote host []? 10.32.10.1 (TFTP伺服器位址)

Destination filename [c2600-i-mz.122-11.bin]?

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!



!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

5998292 bytes copied in 324.071 secs (18509 bytes/sec)

Router#
3、對路由器進行IOS昇級;



QUOTE:
Router#copy tftp flash

Address or name of remote host []? 10.32.10.1 (TFTP伺服器位址)

Source filename []? c2600-i-mz.122-11.bin (需昇級的新IOS映像檔案名)

Destination filename [c2600-i-mz.122-11.bin]?

Do you want to over write? [confirm]

Accessing tftp://10.32.10.1/c2600-i-mz.122-11.bin...

Erase flash: before copying? [confirm]

Erasing the flash filesystem will remove all files! Continue? [confirm]

Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erasedee

Erase of flash: complete

Loading c2600-i-mz.122-11.bin from 10.32.10.1 (via Ethernet0/0): !!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!



!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[OK - 5998292 bytes]

Verifying checksum... OK (0xA0C0)

5998292 bytes copied in 318.282 secs (18846 bytes/sec)

Router#

IOS昇級方法二

由於昇級失敗後或者路由器的config-register暫存器值為0x2101時,開啟路由器時、或者在開啟(某些型號)Cisco路由器的電源開關後30秒內按下Ctrl+break鍵,中斷路由器的正常啟動,路由器都會進入rom監視模式,即Router(boot)〉,在這種情形下,對路由器的IOS進行昇級,也比較簡單。首先進入特權模式下,即



QUOTE:
Router(boot)〉en

Router(boot)#
其他昇級步驟同方法一,即:執行copy tftp flash指令,對IOS進行昇級。昇級完成後,不要忘了修改config-register暫存器值為0x2102(恢復正常值)。


QUOTE:
Router(boot)# t

Router(boot)( config)# config-register 0x2102

Router(boot)( config)#exit

Router(boot)#wr

Router(boot)#reload
重新啟動即可。

IOS昇級方法三

由於不小心使用了指令erase flash或昇級失敗後或在開啟(某些型號)Cisco路由器的電源開關後30秒內按下Ctrl+break鍵,中斷路由器的正常啟動,路由器都會進入rom監視模式,即 rommon 1〉,在這種情形下,對路由器的IOS進行昇級,情況要稍微複雜一點。在rommon 1〉狀態下,可鍵?請求說明 。(1為指令行序號,每執行1條指令自動加1)



QUOTE:
rommon 1 〉 ?

alias set and display aliases command

boot boot up an external process

break set/show/clear the breakpoint

confreg configuration register utility

cont continue executing a downloaded image

context display the context of a loaded image

cookie display contents of cookie PROM in hex

dev list the device table

dir list files in file system

dis display instruction stream

dnld serial download a program module

frame print out a selected stack frame

help monitor builtin command help

history monitor command history

meminfo main memory information

repeat repeat a monitor command

reset system reset

set display the monitor variables

stack produce a stack trace

sync write monitor environment to NVRAM

sysret print out info from last system return

tftpdnld tftp image download

unalias unset an alias

unset unset a monitor variable

xmodem x/ymodem image download

rommon 2 〉
在rommon 1〉狀態下有兩種昇級IOS方法。

(一)、通過Xmodem指令(註:Xmodem與實際的modem沒有任何聯繫 只是一個傳輸傳輸協定 資料是通過終端的串列阜和路由器的Console口灌進去的)昇級IOS,具體步驟如下:

1、用Cisco原配的線纜連接路由器的console口與PC機的COM1,使用PC機的超級終端軟體訪問路由器,這時不需要對PC和路由器組態任何位址。

2、在這個模式下,輸入Xmodem指令,即:


QUOTE:
rommon 2 〉 xmodem -c c2600-i-mz.122-11.bin

(-c是帶校驗,c2600-i-mz.122-11.bin為存放在PC機上的IOS映像文件)

WARNING: All existing data in bootflash will be lost!

Invoke this application only for disaster recovery.

Do you wish to continue? y/n [n]: y
Ready to receive file c2600-i-mz.122-11.bin ... (此時在超級終端的傳送欄目=〉 選項傳送文件選項 =〉 再選項Xmodem 並指明IOS映像文件所在的路徑,按傳送即開始上傳IOS,等待時間很長,視IOS的大小和傳輸速度。)


QUOTE:
Erasing flash at 0x607c0000

program flash location 0x605b0000

Download Complete!
傳完以後,對整個系統啟始化 顯示如下:


QUOTE:
program load complete, entry point: 0x80008000, size: 0x5b85e0

Self decompressing the image : #################################################

################################################# [OK]

Smart Init is disabled. IOMEM set to: 10

Using iomem percentage: 10

Restricted Rights Legend

Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer

Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

Cisco Internetwork Operating System Software

IOS (tm) C2600 Software (C2600-I-M), Version 12.2(11)T9, RELEASE SOFTWARE (fc1)

TAC Support: http://www.cisco.com/tac

Copyright (c) 1986-2003 by cisco Systems, Inc.

Compiled Mon 23-Jun-03 15:42 by cmong

Image text-base: 0x8000809C, data-base: 0x80A68B48

cisco 2610 (MPC860) processor (revision 0x203) with 22528K/2048K bytes of memory

Processor board ID JAD03483395 (1128032249)

M860 processor: part number 0, mask 49

Bridging software.

X.25 software, Version 3.0.0.

1 Ethernet/IEEE 802.3 interface(s)

2 Serial(sync/async) network interface(s)

32K bytes of non-volatile configuration memory.

8192K bytes of processor board System flash (Read/Write)

Press RETURN to get started!

*Mar 1 00:00:05.652: %PA-2-UNDEFPA: Undefined Port Adaptor type 100 in bay 1

*Mar 1 00:00:07.996: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up

*Mar 1 00:00:07.996: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down

*Mar 1 00:00:07.996: %LINK-3-UPDOWN: Interface Serial0/1, changed state to down

*Mar 1 00:00:09.142: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up

*Mar 1 00:00:09.142: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down

*Mar 1 00:00:09.142: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1, changed state to down

*Mar 1 00:00:09.458: %SYS-5-CONFIG_I: Configured from memory by console

*Mar 1 00:00:11.245: %LINK-5-CHANGED: Interface Serial0/1, changed state to administratively down

*Mar 1 00:00:12.275: %SYS-5-RESTART: System restarted --Cisco Internetwork Operating System Software

IOS (tm) C2600 Software (C2600-I-M), Version 12.2(11)T9, RELEASE SOFTWARE (fc1)

TAC Support: http://www.cisco.com/tac

Copyright (c) 1986-2003 by cisco Systems, Inc.

Compiled Mon 23-Jun-03 15:42 by cmong

*Mar 1 00:00:12.279: %SNMP-5-COLDSTART: SNMP agent on host NE16 is undergoing a cold start

Router〉

採用這種方法時,由於使用console口來傳送,速率為9600bps,需要時間較長。因此可修改console口速率利用xmodem指令實現快速昇級IOS。具體方法如下:


QUOTE:
rommon 1 〉 confreg Enter鍵

Configuration Summary

enabled are:

load rom after netboot fails

console baud: 9600

boot: image specified by the boot system commands

or default to: cisco2-C2600

do you wish to change the configuration? y/n [n]: y (選項 yes)

enable 「diagnostic mode「? y/n [n]: n (選項 no)

enable 「use net in IP bcast address「? y/n [n]: n (選項 no)

disable 「load rom after netboot fails「? y/n [n]: n (選項 no)

enable 「use all zero broadcast「? y/n [n]: n (選項 no)

enable 「break/abort has effect「? y/n [n]: n (選項 no)

enable 「ignore system config info「? y/n [n]: n (選項 no)

change console baud rate? y/n [n]: y (選項 yes)

enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400

4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [0]: 7 (選項 7,用最大的11520

速率的xmodem傳輸)

change the boot characteristics? y/n [n]: n (選項 no)

Configuration Summary

enabled are:

load rom after netboot fails

console baud: 115200

boot: image specified by the boot system commands

or default to: cisco2-C2600

do you wish to change the configuration? y/n [n]: n (選項 no)

You must reset or power cycle for new config to take effect

rommon 2 〉 reset Enter鍵
注意:在按reset鍵前,需要修改串列阜速度(我的電腦---連接阜內容----串列阜速度調為115200),然後再修改超級終端裡設定速率為115200,記住,一定要這麼做,否則會出現亂碼! 然後關閉這個超級終端,重新增立一個超級終端連接,重新啟動系統後,出現


QUOTE:
rommon 1〉 提示號
然後,輸入


QUOTE:
rommon 1〉 xmodem -r

Do not start the sending program yet...

Invoke this application only for disaster recovery.

Do you wish to continue? y/n [n]: y (選項 yes)

Ready to receive file ...
此時,在超級終端的表單上的「傳送」---「傳送文件」----選項IOS映像文件所在地以及選項使用「xmodem」傳輸協定,點擊「傳送」即可。等待10-20分鍾左右就可昇級完3-6M的IOS文件!待昇級完成後,請記住修改回電腦串列阜與超級終端、路由器confreg下的xmodem等傳輸速率為9600bps。

方法如下:


QUOTE:
Router〉en 進入新IOS的特權模式

Router#reload 重新啟動系統

Proceed with reload? [confirm] Enter鍵

00:01:04: %SYS-5-RELOAD: Reload requested

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

Copyright (c) 1999 by cisco Systems, Inc.

TAC:Home:SW:IOS:Specials for info

PC = 0xfff0a530, Vector = 0x500, SP = 0x680127b0

C2600 platform with 24576 Kbytes of main memory

PC = 0xfff0a530, Vector = 0x500, SP = 0x80004684

monitor: command 「boot「 aborted due to user interrupt

30秒內按ctrl+break鍵

rommon 1 〉 confreg ( 輸入「confreg」指令)

Configuration Summary

enabled are:

load rom after netboot fails

console baud: 115200

boot: image specified by the boot system commands

or default to: cisco2-C2600

do you wish to change the configuration? y/n [n]: y (選項 yes)

enable 「diagnostic mode「? y/n [n]: n (選項 no)

enable 「use nn IP bcast address「? y/n [n]: n (選項 no)

disable 「load rom after netboot fails「? y/n [n]: n (選項 no)

enable 「use all zero broadcast「? y/n [n]: n (選項 no)

enable 「break/abort has effect「? y/n [n]: n (選項 no)

enable 「ignore system config info「? y/n [n]: n (選項 no)

change console baud rate? y/n [n]: y (選項 yes)

enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400

4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [7]: 0 (選項 0,改回用標準速率速率9600的xmodem傳輸)

change the boot characteristics? y/n [n]: n (選項 no)

Configuration Summary

enabled are:

load rom after netboot fails

console baud: 9600

boot: image specified by the boot system commands

or default to: cisco2-C2600

do you wish to change the configuration? y/n [n]: n You must reset or power cycle for new config to take effect

rommon 2 〉
此時手動式改回電腦串列阜與超級終端2者傳輸速率為9600

然後敲入


QUOTE:
rommon 2 〉reset
最好關掉電源後,重新啟動。利用xmodem指令實現路由器IOS昇級速度較慢,往往等上很長時間,為了快速昇級,可以採用下列方法。

(二)通過tftpdnld指令昇級IOS,具體步驟如下:

1、用Cisco原配的線纜連接路由器的console口與PC機的COM1,使用PC機的超級終端軟體訪問路由器;用一根雙絞線連接路由器的eth0/0口與PC機的網路卡。

2、將路由器的eth0/0口IP位址設為10.32.10.32;PC機的IP位址設為10.32.10.1。將要昇級的IOS映像檔案拷貝到相關的目錄中,並執行TFTP伺服器軟體,通過表單設定Root目錄為拷貝IOS映像文件所在目錄。

3、通過set 指令檢視組態參數



QUOTE:
rommon 2 〉 set

PS1=rommon ! 〉

BOOT=

BSI=0

RET_2_RTS=

?=0
4、在 rommon 狀態下輸入:(注意大小寫)


QUOTE:
rommon 3 〉IP_ADDRESS=10.32.10.1 (路由器的ip位址)

rommon 4 〉IP_SUBNET_MASK=255.255.255.0 (路由器的掩碼)

rommon 5 〉DEFAULT_GATEWAY=10.32.10.32 (預設網路閘道,是pc機的ip位址)

rommon 6 〉TFTP_SERVER=10.32.10.32 (是pc機的ip位址)

rommon 7 〉TFTP_FILE=C2600-I-MZ.122-11.BIN (上傳ios文件的名稱)

rommon 8〉sync (儲存參數組態)

rommon 9 〉set (檢視)

rommon 10 〉 set

PS1=rommon ! 〉

BOOT=

IP_ADDRESS=10.32.10.1

IP_SUBNET_MASK=255.255.255.0

DEFAULT_GATEWAY=10.32.10.32

TFTP_SERVER=10.32.10.32

TFTP_FILE=C2600-I-MZ.122-11.BIN

BSI=0

RET_2_RTS=

?=0

rommon 11 〉tftpdnld
執行tftpdnld指令進行ios昇級,有時可能會報告錯誤或指令不執行,這時只要用sync指令儲存組態後,重新啟動路由器(最好關掉電源再開機)後,再執行tftpdnld指令就可以了。


QUOTE:
rommon 11 〉tftpdnld(傳送文件)出現提示選項y

IP_ADDRESS: 10.32.10.1

IP_SUBNET_MASK: 255.255.255.0

DEFAULT_GATEWAY: 10.32.10.32

TFTP_SERVER: 10.32.10.32

TFTP_FILE: C2600-I-MZ.122-11.BIN

Invoke this command for disaster recovery only.

WARNING: all existing data in all partitions on flash will be lost!

Do you wish to continue? y/n: [n]: y

Receiving C2600-I-MZ.122-11.BIN from 10.32.10.32!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!



!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

File reception completed.

Copying file C2600-I-MZ.122-11.BIN to flash.

Erasing flash at 0x607c0000

program flash location 0x605b0000

rommon 13 〉

在rommon 13 〉提示號下按鍵輸入reset,或重新啟動路由器(power-cycle),進入正常啟始狀態,即:

Router〉

在Cisco2500、2600、7200等系列路由器上均實際操作過,以上為在Cisco2610路由器上實際操作捕獲或抓圖,所配位址只是特例,大家可根據實際需要予以修改。最後建議:大家在作正常路由器系統昇級時,為防止不正確操作等引起的昇級失敗,請先把路由器原有的系統制作備份下來。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
向 psac 送花的會員:
wulihua (2006-08-24)
感謝您發表一篇好文章
舊 2006-05-30, 01:07 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

虛擬路由器

用以建設骨幹IP網路的設備中出現的新進展,尤其是虛擬骨幹路由技術的出現,為Internet服務分配中的全面變化創造了條件。

虛擬路由器將使與其他網路用戶相隔離並提供對網路性能、Internet地址與路由管理以及管理和安全性的新型Internet服務成為可能。虛擬骨幹網路由器在邏輯上將一台物理路由器分為多台虛擬路由器。每台虛擬路由器執行路由協議不同的實例並具有專用的I/O連接阜、緩衝區記憶體、地址空間、 路由表以及網路管理軟件。

基於虛擬骨幹路由器的服務無需增加投資,就可使客戶機具有執行專用骨幹網的控制權和安全性。控制和管理虛擬路由功能的軟件是模塊化的軟件。軟件的多個實例(對應於多個虛擬路由器)在真正的多處理器操作系統(如Unix)上執行。

每個虛擬路由器工作行程利用操作系統中固有的工作行程與記憶體保護功能與其他工作行程相隔離,這就保證了高水平的資料安全性,消除了出故障的軟件模塊損壞其他虛擬路由器上的資料的可能性。

當連接到高速SONET/SDH接頭時,為獲得線速性能,許多運營商級路由器具有的包轉發功能是通過硬體實現的。在具有虛擬路由功能的系統中,這類硬體功能可以在邏輯上被劃分並被靈活地分配給一個特定的虛擬路由器。

接收和發送資料包的物理I/O 連接阜或標記交換路徑被置於組成一台虛擬交換機的軟件模塊的控制之下。包緩衝記憶體和轉發表受每台虛擬路由器資源的限制,以保證一台虛擬路由器不會影響到另一台虛擬路由器的執行。

虛擬路由技術使每台虛擬路由器執行不同的路由協議軟件(例如,最短路徑優先、邊界網關協議、中間系統到中間系統)和網路管理軟件(例如,SNMP或命令行界面)的實例。因此,用戶可以獨立地監視和管理每台虛擬路由器。

不同的協議實例賦予每台虛擬路由器完全獨立的IP地址域,這些地址域可以獨立地進行配置,不會出現造成衝突的危險。管理功能使每台虛擬路由器可以作為一個獨立的實體進行配置和管理。基於用戶的安全模塊還保證所有的網路管理功能和屬於某一虛擬路由器的訊息只能供一定的訪問特權訪問。

每台虛擬路由器的包轉發路徑與其他虛擬路由器的包轉發路徑相隔離,從而使管理人員可以單獨和獨立地管理每台虛擬路由器的性能。系統中一台虛擬路由器上出現的傳輸流激增不會影響其他的虛擬路由器。這就保證了這種服務的最終用戶得到持續的網路性能。

虛擬路由器還提供獨立的策略和Internet工程任務組差別服務(Diff-Serv)功能,使虛擬路由器可以向最終用戶提交完全的定制服務。分配給每台虛擬路由器的I/O連接阜可以進行編程以對輸入包進行計數並保證輸入包不超過預先規定的合同。然後包根據自己的服務類型分類進入多條隊列。

隨著虛擬路由功能在骨幹網中變得更加普及,在動態精確地滿足最終用戶的帶寬需要的同時,它所具有的提供最終用戶對帶寬的最大限度的控制和管理的功能將帶來許多在價格上具有競爭力、高度定制的IP服務。這些服務將大大改變提供商和客戶看待購買帶寬世界的方式。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-07-07, 06:01 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

路由器原理和路由協議、算法詳解

  近十年來,隨著電腦網路規模的不斷擴大,大型互連網路(如Internet)的迅猛發展,路由技術在網路技術中已逐漸成為關鍵部分,路由器也隨之成為最重要的網路設備。用戶的需求推動著路由技術的發展和路由器的普及,人們已經不滿足於僅在本機網路上共享訊息,而希望最大限度地利用全球各個地區、各種類型的網路資源。

  而在目前的情況下,任何一個有一定規模的電腦網路(如企業網、校園網、智慧式大廈等),無論採用的是快速以大網技術、FDDI技術,還是ATM技術,都離不開路由器,否則就無法正常運作和管理。

  1、網路互連

  把自己的網路同其它的網路互連起來,從網路中獲取更多的訊息和向網路發佈自己的消息,是網路互連的最主要的動力。網路的互連有多種方式,其中使用最多的是網橋互連和路由器互連。

  1.1 網橋互連的網路

  網橋工作在OSI模型中的第二層,即鏈路層。完成資料幀(frame)的轉發,主要目的是在連接的網路間提供透明的通信。網橋的轉發是依據資料幀中的源地址和目的地址來判斷一個幀是否應轉發和轉發到哪個連接阜。幀中的地址稱為「MAC」地址或「硬體」地址,一般就是網卡所帶的地址。

  網橋的作用是把兩個或多個網路互連起來,提供透明的通信。網路上的設備看不到網橋的存在,設備之間的通信就如同在一個網上一樣方便。由於網橋是在資料幀上進行轉發的,因此只能連接相同或相似的網路(相同或相似結構的資料幀),如以太網之間、以太網與令牌環(token ring)之間的互連,對於不同類型的網路(資料幀結構不同),如以太網與X.25之間,網橋就無能為力了。

  網橋擴大了網路的規模,提高了網路的性能,給網路應用帶來了方便,在以前的網路中,網橋的應用較為廣泛。但網橋互連也帶來了不少問題:一個是廣播風暴,網橋不阻擋網路中廣播消息,當網路的規模較大時(幾個網橋,多個以太網段),有可能引起廣播風暴(broadcasting storm),導致整個網路全被廣播訊息充滿,直至完全癱瘓。第二個問題是,當與外部網路互連時,網橋會把內部和外部網路合二為一,成為一個網,雙方都自動向對方完全開放自己的網路資源。這種互連方式在與外部網路互連時顯然是難以接受的。問題的主要根源是網橋只是最大限度地把網路溝通,而不管傳送的訊息是什麼。

  1.2 路由器互連網路

  路由器互連與網路的協議有關,我們討論限於TCP/IP網路的情況。

  路由器工作在OSI模型中的第三層,即網路層。路由器利用網路層定義的「邏輯」上的網路地址(即IP地址)來區別不同的網路,實現網路的互連和隔離,保持各個網路的獨立性。路由器不轉發廣播消息,而把廣播消息限制在各自的網路內部。發送到其他網路的資料茵先被送到路由器,再由路由器轉發出去。

  IP路由器只轉發IP分組,把其餘的部分擋在網內(包括廣播),從而保持各個網路具有相對的獨立性,這樣可以組成具有許多網路(子網)互連的大型的網路。由於是在網路層的互連,路由器可方便地連接不同類型的網路,只要網路層執行的是IP協議,通過路由器就可互連起來。

  網路中的設備用它們的網路地址(TCP/IP網路中為IP地址)互相通信。IP地址是與硬體地址無關的「邏輯」地址。路由器只根據IP地址來轉發資料。IP地址的結構有兩部分,一部分定義網路號,另一部分定義網路內的主機號。目前,在Internet網路中採用子網掩碼來確定IP地址中網路地址和主機地址。子網掩碼與IP地址一樣也是32bit,並且兩者是一一對應的,並規定,子網掩碼中數位為「1」所對應的IP地址中的部分為網路號,為「0」所對應的則為主機號。網路號和主機號合起來,才構成一個完整的IP地址。同一個網路中的主機IP地址,其網路號必須是相同的,這個網路稱為IP子網。

  通信只能在具有相同網路號的IP地址之間進行,要與其它IP子網的主機進行通信,則必須經過同一網路上的某個路由器或網關(gateway)出去。不同網路號的IP地址不能直接通信,即使它們接在一起,也不能通信。

  路由器有多個連接阜,用於連接多個IP子網。每個連接阜的IP地址的網路號要求與所連接的IP子網的網路號相同。不同的連接阜為不同的網路號,對應不同的IP子網,這樣才能使各子網中的主機通過自己子網的IP地址把要求出去的IP分組送到路由器上。

  2 、路由原理

  當IP子網中的一台主機發送IP分組給同一IP子網的另一台主機時,它將直接把IP分組送到網路上,對方就能收到。而要送給不同IP於網上的主機時,它要選擇一個能到達目的子網上的路由器,把IP分組送給該路由器,由路由器負責把IP分組送到目的地。如果沒有找到這樣的路由器,主機就把IP分組送給一個稱為「預設網關(default gateway)」的路由器上。「預設網關」是每台主機上的一個配置參數,它是接在同一個網路上的某個路由器連接阜的IP地址。

  路由器轉發IP分組時,只根據IP分組目的IP地址的網路號部分,選擇合適的連接阜,把IP分組送出去。同主機一樣,路由器也要判定連接阜所接的是否是目的子網,如果是,就直接把分組通過連接阜送到網路上,否則,也要選擇下一個路由器來傳送分組。路由器也有它的預設網關,用來傳送不知道往哪兒送的IP分組。這樣,通過路由器把知道如何傳送的IP分組正確轉發出去,不知道的IP分組送給「預設網關」路由器,這樣一級級地傳送,IP分組最終將送到目的地,送不到目的地的IP分組則被網路丟棄了。

  目前TCP/IP網路,全部是通過路由器互連起來的,Internet就是成千上萬個IP子網通過路由器互連起來的國際性網路。這種網路稱為以路由器為基礎的網路(router based network),形成了以路由器為節點的「網間網」。在「網間網」中,路由器不僅負責對IP分組的轉發,還要負責與別的路由器進行聯絡,共同確定「網間網」的路由選擇和維護路由表。

  路由動作包括兩項基本內容:尋徑和轉發。尋徑即判定到達目的地的最佳路徑,由路由選擇算法來實現。由於涉及到不同的路由選擇協議和路由選擇算法,要相對複雜一些。為了判定最佳路徑,路由選擇算法必須啟動並維護包含路由訊息的路由表,其中路由訊息依賴於所用的路由選擇算法而不盡相同。路由選擇算法將收集到的不同訊息填入路由表中,根據路由表可將目的網路與下一站(nexthop)的關係告訴路由器。路由器間互通訊息進行路由更新,更新維護路由表使之正確反映網路的拓撲變化,並由路由器根據量度來決定最佳路徑。這就是路由選擇協議(routing protocol),例如路由訊息協議(RIP)、開放式最短路徑優先協議(OSPF)和邊界網關協議(BGP)等。

  轉發即沿尋徑好的最佳路徑傳送訊息分組。路由器首先在路由表中查找,判明是否知道如何將分組發送到下一個站點(路由器或主機),如果路由器不知道如何發送分組,通常將該分組丟棄;否則就根據路由表的相應表項將分組發送到下一個站點,如果目的網路直接與路由器相連,路由器就把分組直接送到相應的連接阜上。這就是路由轉發協議(routed protocol)。

  路由轉發協議和路由選擇協議是相互配合又相互獨立的概念,前者使用後者維護的路由表,同時後者要利用前者提供的功能來發佈路由協議資料分組。下文中提到的路由協議,除非特別說明,都是指路由選擇協議,這也是普遍的習慣。

  3、 路由協議

  典型的路由選擇方式有兩種:靜態路由和動態路由。

  靜態路由是在路由器中設置的固定的路由表。除非網路管理員干預,否則靜態路由不會發生變化。由於靜態路由不能對網路的改變作出反映,一般用於網路規模不大、拓撲結構固定的網路中。靜態路由的優點是簡單、高效、可靠。在所有的路由中,靜態路由優先級最高。當動態路由與靜態路由發生衝突時,以靜態路由為準。

  動態路由是網路中的路由器之間相互通信,傳遞路由訊息,利用收到的路由訊息更新路由器表的過程。它能實時地適應網路結構的變化。如果路由更新訊息表明發生了網路變化,路由選擇軟件就會重新計算路由,並發出新的路由更新訊息。這些訊息通過各個網路,引起各路由器重新啟動其路由算法,並更新各自的路由表以動態地反映網路拓撲變化。動態路由適用於網路規模大、網路拓撲複雜的網路。當然,各種動態路由協議會不同程度地佔用網路帶寬和CPU資源。

  靜態路由和動態路由有各自的特點和適用範圍,因此在網路中動態路由通常作為靜態路由的補充。當一個分組在路由器中進行尋徑時,路由器首先查找靜態路由,如果查到則根據相應的靜態路由轉發分組;否則再查找動態路由。

  根據是否在一個自治域內部使用,動態路由協議分為內部網關協議(IGP)和外部網關協議(EGP)。這裡的自治域指一個具有統一管理機構、統一路由策略的網路。自治域內部採用的路由選擇協議稱為內部網關協議,常用的有RIP、OSPF;外部網關協議主要用於多個自治域之間的路由選擇,常用的是BGP和BGP-4。下面分別進行簡要介紹。

  3.1 RIP路由協議

  RIP協議最初是為Xerox網路系統的Xerox parc通用協議而設計的,是Internet中常用的路由協議。RIP採用距離向量算法,即路由器根據距離選擇路由,所以也稱為距離向量協議。路由器收集所有可到達目的地的不同路徑,並且儲存有關到達每個目的地的最少站點數的路徑訊息,除到達目的地的最佳路徑外,任何其它訊息均予以丟棄。同時路由器也把所收集的路由訊息用RIP協議通知相鄰的其它路由器。這樣,正確的路由訊息逐漸擴散到了全網。

  RIP使用非常廣泛,它簡單、可靠,便於配置。但是RIP只適用於小型的同構網路,因為它允許的最大站點數為15,任何超過15個站點的目的地均被標記為不可達。而且RIP每隔30s一次的路由訊息廣播也是造成網路的廣播風暴的重要原因之一。

  3.2 OSPF路由協議

  80年代中期,RIP已不能適應大規模異構網路的互連,0SPF隨之產生。它是網間工程任務組織(1ETF)的內部網關協議工作組為IP網路而開發的一種路由協議。

  0SPF是一種基於鏈路狀態的路由協議,需要每個路由器向其同一管理域的所有其它路由器發送鏈路狀態廣播訊息。在OSPF的鏈路狀態廣播中包括所有接頭訊息、所有的量度和其它一些變數。利用0SPF的路由器首先必須收集有關的鏈路狀態訊息,並根據一定的算法計算出到每個節點的最短路徑。而基於距離向量的路由協議僅向其鄰接路由器發送有關路由更新訊息。

  與RIP不同,OSPF將一個自治域再劃分為區,相應地即有兩種類型的路由選擇方式:當源和目的地在同一區時,採用區內路由選擇;當源和目的地在不同區時,則採用區間路由選擇。這就大大減少了網路開銷,並增加了網路的穩定性。當一個區內的路由器出了故障時並不影響自治域內其它區路由器的正常工作,這也給網路的管理、維護帶來方便。

  3.3 BGP和BGP-4路由協議

  BGP是為TCP/IP互連網設計的外部網關協議,用於多個自治域之間。它既不是基於純粹的鏈路狀態算法,也不是基於純粹的距離向量算法。它的主要功能是與其它自治域的BGP交換網路可達訊息。各個自治域可以執行不同的內部網關協議。BGP更新訊息包括網路號/自治域路徑的成對訊息。自治域路徑包括到達某個特定網路須經過的自治域串,這些更新訊息通過TCP傳送出去,以保證傳輸的可靠性。

  為了滿足Internet日益擴大的需要,BGP還在不斷地發展。在最新的BGp4中,還可以將相似路由合併為一條路由。

  3.4 路由表項的優先問題

  在一個路由器中,可同時配置靜態路由和一種或多種動態路由。它們各自維護的路由表都提供給轉發程式,但這些路由表的表項間可能會發生衝突。這種衝突可通過配置各路由表的優先級來解決。通常靜態路由具有預定的最高優先級,當其它路由表表項與它矛盾時,均按靜態路由轉發。

  4、 路由算法

  路由算法在路由協議中起著至關重要的作用,採用何種算法往往決定了最終的尋徑結果,因此選擇路由算法一定要仔細。通常需要綜合考慮以下幾個設計目標:

  ——(1)最優化:指路由算法選擇最佳路徑的能力。

  ——(2)簡潔性:算法設計簡潔,利用最少的軟件和開銷,提供最有效的功能。

  ——(3)堅固性:路由算法處於非正常或不可預料的環境時,如硬體故障、負載過高或操作失誤時,都能正確執行。由於路由器分佈在網路聯接點上,所以在它們出故障時會產生嚴重後果。最好的路由器算法通常能經受時間的考驗,並在各種網路環境下被證實是可靠的。

  ——(4)快速收斂:收斂是在最佳路徑的判斷上所有路由器達到一致的過程。當某個網路事件引起路由可用或不可用時,路由器就發出更新訊息。路由更新訊息遍及整個網路,引發重新計算最佳路徑,最終達到所有路由器一致公認的最佳路徑。收斂慢的路由算法會造成路徑循環或網路中斷。

  ——(5)靈活性:路由算法可以快速、準確地適應各種網路環境。例如,某個網段發生故障,路由算法要能很快發現故障,並為使用該網段的所有路由選擇另一條最佳路徑。

  路由算法按照種類可分為以下幾種:靜態和動態、單路和多路、平等和分級、源路由和透明路由、域內和域間、鏈路狀態和距離向量。前面幾種的特點與字面意思基本一致,下面著重介紹鏈路狀態和距離向量算法。

  鏈路狀態算法(也稱最短路徑算法)發送路由訊息到互連網上所有的結點,然而對於每個路由器,僅發送它的路由表中描述了其自身鏈路狀態的那一部分。距離向量算法(也稱為Bellman-Ford算法)則要求每個路由器發送其路由表全部或部分訊息,但僅發送到鄰近結點上。從本質上來說,鏈路狀態算法將少量更新訊息發送至網路各處,而距離向量算法發送大量更新訊息至鄰接路由器。

  由於鏈路狀態算法收斂更快,因此它在一定程度上比距離向量算法更不易產生路由循環。但另一方面,鏈路狀態算法要求比距離向量算法有更強的CPU能力和更多的記憶體空間,因此鏈路狀態算法將會在實現時顯得更昂貴一些。除了這些區別,兩種算法在大多數環境下都能很好地執行。

  最後需要指出的是,路由算法使用了許多種不同的度量標準去決定最佳路徑。複雜的路由算法可能採用多種度量來選擇路由,通過一定的加權運算,將它們合併為單個的復合度量、再填入路由表中,作為尋徑的標準。通常所使用的度量有:路徑長度、可靠性、時延、帶寬、負載、通信成本等。

  5、 新一代路由器

  由於多媒體等應用在網路中的發展,以及ATM、快速以太網等新技術的不斷採用,網路的帶寬與速率飛速提高,傳統的路由器已不能滿足人們對路由器的性能要求。因為傳統路由器的分組轉發的設計與實現均基於軟件,在轉發過程中對分組的處理要經過許多環節,轉發過程複雜,使得分組轉發的速率較慢。另外,由於路由器是網路互連的關鍵設備,是網路與其它網路進行通信的一個「關口」,對其安全性有很高的要求,因此路由器中各種附加的安全措施增加了CPU的負擔,這樣就使得路由器成為整個互連網上的「瓶頸」。

  傳統的路由器在轉發每一個分組時,都要進行一系列的複雜操作,包括路由查找、訪問控制表匹配、地址解析、優先級管理以及其它的附加操作。這一系列的操作大大影響了路由器的性能與效率,降低了分組轉發速率和轉發的吞吐量,增加了CPU的負擔。而經過路由器的前後分組間的相關性很大,具有相同目的地址和源地址的分組往往連續到達,這為分組的快速轉發提供了實現的可能與依據。新一代路由器,如IP Switch、Tag Switch等,就是採用這一設計思想用硬體來實現快速轉發,大大提高了路由器的性能與效率。

  新一代路由器使用轉發快取記憶體來簡化分組的轉發操作。在快速轉發過程中,只需對一組具有相同目的地址和源地址的分組的前幾個分組進行傳統的路由轉發處理,並把成功轉發的分組的目的地址、源地址和下一網關地址(下一路由器地址)放人轉發快取記憶體中。當其後的分組要進行轉發時,茵先檢視轉發快取記憶體,如果該分組的目的地址和源地址與轉發快取記憶體中的匹配,則直接根據轉發快取記憶體中的下一網關地址進行轉發,而無須經過傳統的複雜操作,大大減輕了路由器的負擔,達到了提高路由器吞吐量的目標。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-07-08, 08:23 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

路由器之測試方法

隨著訊息產業的飛速發展,電腦網路技術得到廣泛應用,電腦網路已成為現代工作生活中必不可少的一部分。路由器作為電腦網的核心設備,相應地在網路上存在廣泛的應用。高端路由器現已由企業級設備成為公眾網上重要的電信級設備。隨著互連網路的逐步普及以及它在生活中重要性的增加,路由器的性能、功能、安全性、可靠性等指標變得越來越重要。所以對路由器的測試有其重要性與必要性。路由器測試規範主要有下面通信行業標準來規範:YD/T1156-2001《路由器測試規範-高端路由器》;YD/T1098-2001《路由器測試規範-低端路由器》。(以上標準分別參照下面標準制定:YD/T1097-2001《路由器設備技術規範-高端路由器》;YD/T1096-2001《路由器設備技術規範-低端路由器》)

  本文的測試介紹主要依據上述路由器測試規範。但是由於以上測試規範只作設備入網測試標準,是一種入門測試,所以我們重點介紹在上述規範基礎上補充的一些其他測試內容。

一、測試的目的和內容
  路由器是通過轉發資料包來實現網路互連的設備,可以支持多種協議(例如TCP/IP,SPX/IPX,AppleTalk),可以在多個層次上轉發資料包(例如資料鏈路層、網路層、應用層)。

  路由器需要連接兩個或多個邏輯連接阜,至少擁有一個物理連接阜。路由器根據收到的資料包中網路層地址以及路由器內部維護的路由表決定輸出連接阜以及下一條路由器地址或主機地址,並且重寫鏈路層資料包頭。路由表必須動態維護來反映當前的網路拓撲。路由器通常通過與其他路由器交換路由訊息來完成動態維護路由表。

(一)路由器分類
  當前路由器分類方法各異。各種分類方法有一定的關聯,但是並不完全一致。通常可以按照路由器能力分類、結構分類、網路中位置分類、功能分類和性能分類等方法。在路由器標準制定中主要按照能力分類,按能力分為高端路由器和低端路由器。背板交換能力大於20Gbit/s,吞吐量大於20Mbit/s的路由器稱為高端路由器。交換能力在上述資料以下的路由器成為低端路由器。與此對應,路由器測試規範分為高端路由器測試規範和低端路由器測試規範。

(二)測試目的及內容
  通過測試路由器,可以瞭解到哪些路由器能提供最好的性能、路由器在不同負載下的行為、模型化網路使用路由器的設計參數、路由器能否處理突發流量、路由器的性能限制、路由器能否提供不同服務質量、路由器不同體系結構對功能和性能的影響、路由器的功能特性和性能指標、路由器的使用是否影響網路安全、路由器協議實現的一致性以及路由器可靠性和路由器產品的優勢和劣勢等內容。

  低端路由器設備測試主要包括:一般測試,即電氣安全性測試;環境測試,包括高低溫、濕度測試和高低溫存儲測試;物理接頭測試,測試低端路由器可能擁有接頭的電氣和物理測性;協議一致性測試,測試協議實現的一致性;性能測試,測試路由器的主要性能;管理測試,主要測試路由器對無大項網管功能的支持。

  高端路由器測試主要包括:接頭測試,高端路由器可能擁有的接頭測試;ATM協議測試,測試ATM協議要求;PPP協議測試,測試PPP協議的一致性;IP協議測試,測試IP協議一致性;路由協議測試,測試路由協議一致性;網管功能測試,驗證測試網關功能;性能和QoS測試,測試路由器性能和QoS能力驗證;網路同步測試,測試設備同步定時能力;可靠性測試,驗證設備可靠性;供電測試,測試整機功耗等內容;環境測試,包括高低溫、濕度測試和高低溫存儲測試。

  上述兩個測試規範由於起草單位以及起草時間不同,組織安排有所不同。

除上述測試外,建議在測試中考慮下面所列測試專案。  
(1)功能測試:主要來驗證產品是否具備了設計的每一項功能。
(2)穩定性和可靠性測試:一般採取加重負載的辦法來評估和分析設備在長時間、高負載的情況下的執行能力。
(3)互操作性測試:不同的網路產品之間必須能夠互操作。互操作性測試考察一個網路產品是否能在一個由不同廠家的多種網路產品互連的網路環境中很好地工作,如驗證路由器與Cisco產品的互操作,交換機與Cisco、3Com、Lucent、Intel等的互操作等。

二、測試方法
  路由器測試方法通常分為本機測試法、分佈測試法、遠端測試法和協同測試法。由於篇幅限制,本文不介紹其他測試法的特點以及適用範圍,只列出路由器測試中最常用到的遠端測試法。

  其中,控制觀察點(PCO):通常由兩個先入先出(FIFO)隊列組成,其功能類似於一對輸入輸出連接阜,向隊列一端發送命令,從同一隊列的另一端接收應答信號;被測實體(IUT):Item Under Test;下測試器(LT):通過位於被測試實體下層的PCO與被測試層交互的測試系統稱為下層測試系統。

三、測試分類
  綜合上文中的測試內容,路由器測試一般可以分成以下幾類:功能測試、性能測試、穩定性可靠性測試、一致性測試、互操作性測試以及網管測試。

  (一)功能測試

  路由器功能通常可以劃分為如下方面。
  (1)接頭功能:該功能用作將路由器連接到網路。可以分為局域網接頭及廣域網接頭兩種。局域網接頭主要包括以太網、令牌環、令牌總線、FDDI等網路接頭。廣域網接頭主要包括E1/T1、E3/T3、DS3、通用串行口(可轉換成X.21DTE/DCE、V.35DTE/DCE、RS232DTE/DCE、RS449DTE/DCE、EIA530DTE)等網路接頭。
(2)通信協議功能:該功能負責處理通信協議,可以包括TCP/IP、PPP、X.25、幀中繼等協議。
(3)資料包轉發功能:該功能主要負責按照路由表內容在各連接阜(包括邏輯連接阜)間轉發資料包並且改寫鏈路層資料包頭訊息。
(4)路由訊息維護功能:該功能負責執行路由協議,維護路由表。路由協議可包括RIP、OSPF、BGP等協議。
(5)管理控制功能:路由器管理控制功能包括五個功能,SNMP代理功能,Telnet服務器功能,本機管理、遠端監控和RMON功能。通過多種不同的途徑對路由器進行控制管理,並且允許紀錄日誌。
(6)安全功能:用於完成資料包過濾,地址轉換,訪問控制,資料加密,防火牆,地址分配等功能。
 
 路由器對上述功能並非必要完全實現。但是由於路由器作為網路設備,存在最小功能集,對最小功能集所規定的功能,路由器必須支持。因為絕大多數功能測試可以由接頭測試、性能測試、協議一致性測試和網管測試所涵蓋,所以路由器功能測試一般可以只對其他測試無法涵蓋的功能作驗證性測試。路由器功能測試一般採用遠端測試法。

  (二)性能測試
  路由器是IP網路的核心設備,其性能的好壞直接影響IP網網路規模、網路穩定性以及網路可擴展性。由於IETF沒有對路由器性能測試作專門規定,一般來說只能按照RFC2544(Benchmarking Methodology for Network Interconnect Devices)作測試。但路由器區別於一般簡單的網路互連設備,在性能測試時還應該加上路由器特有的性能測試。例如路由表容量、路由協議收斂時間等指標。
  
路由器性能測試應當包括下列指標。

  (1)吞吐量:測試路由器包轉發的能力。通常指路由器在不丟包條件下每秒轉發包的極限,一般可以採用二分法查找該極限點。

(2)時延:測試路由器在吞吐量範圍內從收到包到轉發出該包的時間間隔。時延測試應當重複20次然後取其平均值。

(3)丟包率:測試路由器在不同負荷下丟棄包占收到包的比例。不同負荷通常指從吞吐量測試到線速(線路上傳輸包的最高速率),步長一般使用線速的10%。

(4)背靠背幀數:測試路由器在接收到以最小包間隔傳輸時不丟包條件下所能處理的最大包數。該測試實際考驗路由器快取記憶體能力,如果路由器具備線速能力(吞吐量=接頭媒體線速),則該測試沒有意義。

(5)系統恢復時間:測試路由器在過載後恢復正常工作的時間。測試方法可以採用向路由器連接阜發送吞吐量110%和線速間的較小值,持續60秒後將速率下降到50%的時刻到最後一個丟包的時間間隔。如果路由器具備線速能力,則該測試沒有意義。

(6)系統復位:測試路由器從軟件復位或關電重啟到正常工作的時間間隔。正常工作指能以吞吐量轉發資料。
  
在測試上述RFC2544中規定的指標時應當考慮下列因素。
  
幀格式:建議按照RFC2544所規定的幀格式測試;
幀長:從最小幀長到MTU順序遞增,例如在以太網上採用64,128, 256, 512, 1024, 1280, 1518字節;
認證接收幀:排除收到的非測試幀,例如控制幀、路由更新幀等;廣播幀:驗證廣播幀對路由器性能的影響,上述測試後在測試幀中夾雜1%廣播幀再測試;
管理幀:驗證管理幀對路由器性能的影響,上述測試後在測試幀中夾雜每秒一個管理幀再測試;
路由更新:路由更新即下一跳連接阜改變對性能的影響;
過濾器:在設置過濾器條件下對路由器性能的影響,建議設置25個過濾條件測試;
協議地址:測試路由器收到隨機處於256個網路中的地址時對性能的影響;
雙向流量:測試路由器連接阜雙向收發資料對性能的影響;
多連接阜測試:考慮流量全連接分佈或非全連接分佈對性能的影響;
多協議測試:考慮路由器同時處理多種協議對性能的影響;
混合包長:除測試所建議的遞增包長外,檢查混合包長對路由器性能的影響,RFC2544除要求包含所有測試包長外沒有對混合包長中各包長所佔比例作規定。(筆者建議按照實際網路中各包長的分佈測試,例如在沒有特殊應用要求時以太網接頭上可採用60字節包50%,128字節包10%,256字節包15%,512字節包10%,1500字節包15%。)  

除上述RFC2544建議的測試項外還建議測試如下內容。

  1路由震盪:路由震盪對路由器轉發能力的影響。路由震盪程度即每秒更新路由的數量可以依據網路條件而定。路由更新協議可採用BGP。

2路由表容量:測試路由表大小。骨幹網路由器通常執行BGP,路由表包含全球路由。一般來說要求超過10萬條路由,建議通過採用BGP輸入匯出路由計數來測試。

3時鐘同步:在包含相應連接阜例如POS口的路由器上測試內鍾精度以及同步能力。

4協議收斂時間:測試路由變化通知到全網所用時間。該指標雖然與路由器單機性能有關,但是一般只能在網路上測試,而且會因配置改變而變化。可以在網路配置完成後通過檢查該指標來衡量全網性能。測試時間應當根據具體專案以及測試目標而定。一般認為測試時間應當介於60秒到300秒之間。另外一般可以根據用戶要求和測試目標作設定選擇。路由器性能測試一般可採用遠端測試法。

(三)一致性測試
  路由器一致性測試通常採用「黑箱」方法,被測試設備IUT叫做「黑箱」。測試系統通過控制觀察點PCO與被測試設備接頭。

  不同的測試事件是通過不同的PCO來控制和觀察的,按照其應答是否遵守規範,即定時關係和資料匹配限制,測試的結果可分為通過、失敗、無結果3種。路由器是一種複雜的網路互連設備,需要在各個通信層上實現多種協議。例如相應的接頭的物理層和鏈路層協議、IP/ICMP等互連網層協議、TCP/UDP等傳輸層協議、Telnet/SNMP等應用層協議以及RIP/OSPF/BGP等路由協議。

  協議一致性測試應當包含路由器所實現的所有協議。由於該測試內容繁多測試複雜,在測試中可以選擇重要的協議以及所關心的內容測試。由於骨幹網上路有器可能影響全球路由,所以在路由器測試中應特別重視路由協議一致性測試例如OSPF和BGP協議。由於一致性測試只能選擇有限測試例測試,一般無法涵蓋協議所有內容。所以即使通過測試也無法保證設備完全實現協議所有內容,所以最好的辦法是在現實環境中試執行。路由器一致性測試一般採用分佈式測試法或遠端測試法。

(四)互操作測試
  由於通信協議、路由協議非常複雜且擁有眾多選項,實現同一協議的路由器並不能保證互通互操作。並且因為一致性測試能力有限,即使通過協議一致性測試也未必能保證完全實現協議。所以有必要對設備進行互操作測試。

  互操作測試實際上是將一致性測試中所用的儀表替換成需要與之互通互操作的設備,選擇一些重要且典型的互連方式配置,觀察兩設備是否能按照預期正常工作。

(五)穩定性、可靠性測試
  由於大多數路由器需要每天24小時,每週7天連續工作,作為Internet核心設備的骨幹路由器的穩定性和可靠性尤其重要。所以用戶需要瞭解露由器的穩定性和可靠性。

  路由器的穩定性和可靠性很難測試。一般可以通過兩種途徑的到:(1)廠家通過關鍵部件的可靠性以及備份程度計算系統可靠性;(2)用戶或廠家通過大量相同產品使用中的故障率統計產品穩定性和可靠性。當然,用戶也可以通過在一定時間內對試執行結果的要求來在一定程度上保證路由器的可靠性與穩定性。

(六)網管測試
  網管測試一般測試網管軟件對網路以及網路上設備的管理能力。由於路由器是IP網的核心設備,所以必須測試路由器對網管的支持度。  如果路由器附帶網管軟件,可以通過使用所附帶的網管軟件來檢查網管軟件所實現的配置管理、安全管理、性能管理、計帳管理、故障管理、拓撲管理和視圖管理等功能。如果路由器不附帶網管軟件,則應當測試路由器對SNMP協議實現的一致性以及對MIB實現的程度。由於路由器需要實現的MIB非常多,每個MIB都包含大量內容,很難對MIB實現完全測試。一般可以通過抽測重要的MIB項來檢查路由器對MIB的實現情況。

  另外,由於路由器設備非常複雜,可能採用的接頭和協議多種多樣,所以對路由器測試所採用的儀表以及儀表的配置必須根據測試內容以及路由器實際配置來決定。一般來說路由器測試所使用的儀表可分為性能測試儀表、協議測試儀表以及其他種類儀表。

(1)性能測試儀表
主要測試IP包轉發能力。最典型的有NetCom公司的SmartBit、安捷***司的Router Tester等。性能測試儀表有時也要求一些協議仿真能力,例如對BGP、OSPF的仿真。

(2)協議測試儀表
主要測試路由器對協議實現的一致性。主要有路由協議一致性測試儀表例如安捷***司的Router Tester等。其他協議例如TCP/IP、ATM、ISDN、SNMP等眾多路由器實現的協議一致性測試所用儀表可使用各種專用或通用儀表。

(3)其他儀表
主要包括一些通用儀表,如示波器、萬用表、率耗器、光功率計等。

還有在測試儀表的選擇中還應當考慮儀表的精度以及誤差範圍。

綜上所述路由器的測試是一項複雜但是非常重要的工作,對路有器的測試只有在研究測試方法的基礎上結合具體測試情況,制定正確測試方案,選擇合適的測試儀表,認真測試才能達到測試目的。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-08-22, 02:33 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

路由器配置指南
這兩天家裡的網停了 準備從鄰居家接網過來 搞了個路由 可是沒說明書
搞了好久才設置成功(不要說我菜) 雖然很累 但是自己能解決問題很開心
現把從網上找到的文章 分享給大家
路由器配置指南
對路由器進行基本配置,使電腦通過路由器實現共享上網,過程相對來說比較容易實現。這篇文檔下面的內容,主要講述如下幾部分:
1, 收集並判斷訊息,為配置路由器做準備;
2, 進入路由器管理界面,對路由器進行配置;
3, 配置過程簡單的故障定位排除;
讓我們快快開始,進入正題!
1, 配置路由器前的準備工作(如果您對您自己的連接方式清楚,可以直接跳到第2點);
第一個需要確認的就是您的「寬帶接入方式」是怎樣的?
當然,最簡捷的辦法就是給您的ISP(互連網服務提供商)打個電話咨詢一下;也可以通過您購買路由器以前的網路連接方式進行快速判斷。
常見的硬體連接方式有下面幾種:
1), 電話線 —> ADSL MODEM —> 電腦
2),雙絞線(乙太網線)—> 電腦
3),有線電視(同軸電纜)—> Cable MODEM —> 電腦
4),光纖 —> 光電轉換器 —> 代理服務器 —> PC
ADSL / VDSL PPPoE :電腦上執行第三方撥號軟件如Enternet300或WinXP 系統自帶的撥號程式,填入ISP提供的賬號和密碼,每次上網前先要撥號;或者您的ADSL MODEM 已啟用路由功能,填入了ISP提供的賬號和密碼,撥號的動作交給 MODEM 去做;(這種寬帶接入方式典型的比如南方電信提供的「 網路快車 」)
靜態IP :ISP提供給您固定的IP位址、子網掩碼、預定網路閘道器、DNS ;
動態IP :電腦的TCP/IP內容設置為「自動獲取IP位址」,每次啟動電腦即可上網;(這種寬帶接入方式典型的比如深圳「天威視訊」)
802.1X+靜態IP :ISP提供固定的IP位址,專用撥號軟件,賬號和密碼 ;
802.1X+動態IP :ISP提供專用撥號軟件,賬號和密碼 ;
WEB認證 :每次上網之前,打開IE瀏覽器,先去ISP指定的主頁,填入ISP提供的用戶名密碼,通過認證以後才可以進行其他得上網操作;(上面的黑體字就是您的寬帶接入方式,但是接入方式和硬體連接方式並不是固定搭配的)
上面提到的這些連接認證方式只是普及率比較高的一些寬帶接入方式,當然還會有其他的拓撲連接以及認證方式的存在;所以,當您不能肯定自己的寬帶方式的時候,最好向ISP咨詢:自己裝的寬帶接入,IP位址是靜態的還是動態的?認證使用的協議是PPPoE、802.1X還是WEB認證?當上面的兩個問題有了答案,就可以對路由器進行配置了;
2, 怎樣進入路由器管理界面?
先參照《用戶手冊》上面的圖示,將ADSL MODEM、路由器、電腦連結起來; TL-R4XX系列路由器的管理地址出廠預定:IP位址:192. 168. 1. 1 ,子網掩碼:255. 255. 255. 0 (TL-R400 和TL-R400+ 兩款的管理地址預定為:192. 168. 123. 254 ,子網掩碼:255. 255. 255. 0)用網線將路由器LAN口和電腦網卡連接好,因為路由器上的乙太網口具有極性自動翻轉功能,所以無論您的網線採用直連線或交叉線都可以,需要保證的是網線水晶頭的製作牢靠穩固,水晶頭銅片沒有生銹等。
電腦桌面上右鍵點擊「網上的芳鄰」,選擇「內容」,在彈出的視窗中雙擊打開「區域連線」,在彈出的視窗中點擊「內容」,然後找尋「Internet協議(TCP/IP)」,雙擊彈出「Internet協議(TCP/IP)內容」視窗;在這個視窗中選擇「使用下面的IP位址」,然後在對應的位置填入:
IP位址 :192. 168. 1. X(X範圍2-254)、
子網掩碼:255. 255. 255. 0 、
預定網路閘道器:192. 168. 1. 1 ,填完以後「確定」兩次即可;
「Internet協議(TCP/IP)內容」視窗如下:
http://www.tp-link.com.cn/fuwu/fae/images/460-1.gif
3,檢查電腦和路由器能不能通訊?
可採用如下辦法檢視,打開電腦的DOS界面:
「開始」—>「程式」,點擊「MS-DOS」 (Win98操作系統)
「開始」—>「程式」—「附件」,點擊「命令提示字元」 (Win2000/XP操作系統)
一是檢查上面的IP位址配置是否生效?
在DOS視窗輸入:ipconfig/all 並Enter鍵,當看到類似如下訊息,表示配置生效 ,
IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . :192. 168. 1. 10
Subnet Mast . . . . . . . . . . . . . . . . . . . . . . . . . .: 255. 255. 255. 0
Default Gateway. . . . . . . . . . . . . . . . . . . . . . . . :192. 168. 1. 1
http://www.tp-link.com.cn/fuwu/fae/images/460-2.gif
二是從電腦往路由器LAN口發送資料包,看資料包能不能返回?在DOS視窗執行: ping 192. 168. 1. 1 –t 並Enter鍵,如果出現如下類似訊息,
Reply from 192. 168. 1. 1 : bytes=32 time

psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-08-22, 02:34 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

進入路由器管理界面,在左列表菜單欄中點擊「網路參數」—>「WAN口設置」,就在這裡配置路由器面向Internet方向的WAN口的工作模式,這是最關鍵的一步;
假設您的寬帶接入方式為 ADSL PPPoE ,那就選擇「WAN口連接類型」為「PPPoE」,填入「上網賬號」 、「上網口令」,如果您是包月用戶,再選擇連接模式為:「自動連接」,點擊「儲存」即完成配置;儲存完後「上網口令」框內填入的密碼會多出幾位,這是路由器為了安全起見專門做的;
然後您點擊管理界面左列的「執行狀態」,在執行狀態網頁面「WAN口內容」,剛開始看不到對應的IP位址子網掩碼預定網路閘道器DNS服務器等地址,就好像下面的這幅圖,那說明路由器正在撥號過程中,等到這些地址都出現了相應的訊息後,將其中的DNS服務器地址填入電腦「Internet協議(TCP/IP)」網頁面對應位置確定後,基本的設置就完成了,沒有大礙的話可以衝浪了!
http://www.tp-link.com.cn/fuwu/fae/images/460-9.gif
正常情況下一兩分鐘內,上圖橢圓形部分會出現一系列地址,表明撥號成功;
6,故障情況列舉;
如果上圖橢圓形區域一直都沒有變,看不到任何地址,有下面幾種原因導致,請逐一排除:
1) ADSL MODEM上一般都會有一個ADSL燈,正常情況下MODEM加電並接好電話線後,這個燈會大致規律性地快慢閃爍,閃爍最終停止變為長亮;如果這個燈無休止的閃啊閃就是不長亮,請聯繫並告知ISP您的ADSL MODEM同局端的交換機不能同步,這個ADSL/DSL燈長亮的條件,是必須的;
2) 在配置過程中填入「上網口令」的時候不小心輸錯,不妨重新輸入一遍;
3) ADSL MODEM 啟用了「路由模式」, 需要將ADSL MDOEM復位成「橋接模式」;怎麼復位到橋接模式可以和MODEM廠家聯繫取得操作方法;也可以這樣判斷:電腦接MODEM,並且在電腦上撥號,撥號成功以後可以上網,如果是這種情況的話,則說明MODEM的工作方式是橋接模式,可以排除這一可能性;
4) ISP將電腦網卡的MAC卡位址幫定到了ADSL線路上;解決的辦法就是使用路由器的「MAC卡位址複製克隆」功能,將網卡的MAC卡位址複製到路由器的WAN口;
如果上面的可能性都排除了,ADSL PPPoE撥號一般就沒什麼問題了,下面列舉的是另2個值得關注的故障原因;
5) 您的寬帶接入方式是那種乙太網線直接引入,不是ADSL但同樣需要撥號,撥號的軟件不局限於一種,認證使用的協議也是PPPoE,但就是撥號成功不了;如果ISP承諾帶寬是10Mbps ,建議:找個10/100M自適應的集線器,將寬帶進線接在集線器上,然後再連結集線器到路由器WAN口;經過這樣一個速率適配的過程,撥號應該沒有問題的;
6) 購買路由器前,您也是通過電腦執行撥號軟件,填入用戶名口令撥號。但撥號軟件是ISP提供的專用軟件,別的軟件撥號是成功不了的;如果是這種情況,請聯繫ISP咨詢一下:您的寬帶接入,認證使用的協議是802. 1X 嗎?如果是的,有種可能是認證系統在開發過程中加入私有訊息,導致路由器撥號失敗;
7,其他配置
1) 安全設置
當可以正常上網了,可能出於不同的原因,您想要對內部局域網的電腦上網操作,開放不同的權限,比如只允許登入某些網站、只能收發E-mail、一部分有限制、一部分不限制;用戶在這方面需求差異較大,有些通過路由器可以實現,有些用路由器是沒辦法完全實現的,比如「IP位址和網卡地址綁定」這個功能,路由器不能完全做到;
我們上網的操作,其實質是電腦不斷發送請求資料包,這些請求資料包必然包含一些參數比如:源IP、目的IP、源連接阜、目的連接阜等等;路由器正是通過對這些參數的限制,來達到控制內部局域網的電腦不同上網權限的目的;
下面我們會列舉具有代表性的配置舉例,來說明路由器「防火牆設置」、「IP位址過濾」這些功能是怎樣使用的?列舉的事例以及上面紅字部分的解釋,都是為了幫助您盡可能理解各個功能參數的含義,只有理解了參數的含義,您才可以隨心所欲的配置過濾規則,迅速實現您預期的目的,而不會因為配置錯誤導致不能使用這些功能,也不會因為由於得不到及時的技術支持而耽誤您的應用;
http://www.tp-link.com.cn/fuwu/fae/images/460-10.gif
上圖是「防火牆設置」網頁面,可以看到這是一個總開關的設置網頁面,凡是沒有使用的功能,就請不要在它前面打鉤選中;
除了總開關,再有就是兩個過濾功能「預設過濾規則」的確定,何謂預設過濾規則?我們在具體規則設置網頁面裡,定義一些特定的規則,對符合條件的資料包進行控制處理,而這兒的「預設規則」顧名思義,限定的是我們定制的規則中沒有涉及到不符合的資料包該怎麼辦?這個應該不難理解吧;
一個資料包,要嗎符合我們設定的規則,要嗎不符合我們設定的規則但同時必定符合預設規則;
http://www.tp-link.com.cn/fuwu/fae/images/460-11.gif
上圖就是「IP位址過濾」網頁面,我們可以看到預設的過濾規則,可以填加新條目;
http://www.tp-link.com.cn/fuwu/fae/images/460-12.gif
上圖就是詳細具體的規則設置網頁面,各項參數如上;
我們配置一條規則:限制內部局域網的一台電腦,IP位址192. 168. 1. 10,只讓它登入
www.tp-link.com.cn這個網站,別的任何操作都不行;
上面這條規則可以解讀為:內網電腦往公網發送資料包,資料包的源IP位址是要限制的這台電腦的IP位址192. 168. 1. 10,資料包目的IP位址202. 96. 137. 26 ,也就是
www.tp-link.com.cn這個域名對應的公網IP位址,廣域網請求因為是針對網站的限制,所以連接阜號是80 ;規則設置好界面如下圖:
http://www.tp-link.com.cn/fuwu/fae/images/460-13.gif
可以在配置好的規則網頁面清晰看到,規則生效時間是24小時,控制的對象是IP位址為 192. 168. 1. 10這台主機,局域網後面的連接阜預定不要填,廣域網IP位址欄填入的是
www.tp-link.com.cn對應的公網IP位址,連接阜號因為是網站所以填80,協議一般預定選擇ALL就行了;是否允許通過呢?因為預設規則是禁止不符合設定規則的資料包通過路由器,所以符合設定規則的資料包允許通過,規則狀態為生效的;
http://www.tp-link.com.cn/fuwu/fae/images/460-14.gif
上面這幅圖片新加了第二條規則,請問第二條規則設定的是什麼資料包?
如果您的規則中涉及對網站進行限制,也就是目的請求連接阜是80的,則應該考慮對應的將53這個連接阜對應資料包也允許通過,因為53對應的是去往「域名解析服務器」的資料包,用於將域名(如
www.tp-link.com.cn)和IP位址(如202. 96. 137. 26)對應的,所以必須開!
配置「IP位址過濾規則」這個功能用來實現您的一些目的,最主要的是分析都要做那些控制,然後選擇怎樣的預設規則?配置怎樣的過濾規則?如果您決心瞭解這個功能的真正作用,通過仔細參考資料和在路由器上反覆的實驗,您一定可以完全掌握的
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-08-22, 02:35 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

組網答疑:路由器能替代防火牆嗎?

組網答疑:路由器能替代防火牆嗎?

防火牆已經成為企業網路建設中的一個關鍵組成部分。但有很多用戶,認為網路中已經有了路由器,可以實現一些簡單的包過濾功能,所以,為什麼還要用防火牆呢?以下我們針對防火牆與業界應用最多、最具代表性的路由器在安全方面的對比,來闡述為什麼用戶網路中有了路由器還需要防火牆。

  一、兩種設備產生和存在的背景不同

  1、兩種設備產生的根源不同

  路由器的產生是基於對網路資料包路由而產生的。路由器需要完成的是將不同網路的資料包進行有效的路由,至於為什麼路由、是否應該路由、路由過後是否有問題等根本不關心,所關心的是:能否將不同的網段的資料包進行路由從而進行通訊。

  防火牆是產生於人們對於安全性的需求。資料包是否可以正確的到達、到達的時間、方向等不是防火牆關心的重點,重點是這個(一系列)資料包是否應該通過、通過後是否會對網路造成危害。

  2、根本目的不同

  路由器的根本目的是:保持網路和資料的「通」。

  防火牆根本的的目的是:保證任何非允許的資料包「不通」。

  二、核心技術的不同

  Cisco路由器核心的ACL列表是基於簡單的包過濾,從防火牆技術實現的角度來說,防火牆是基於狀態包過濾的應用級訊息流過濾。

  一個最為簡單的應用:企業內網的一台主機,通過路由器對內網提供服務(假設提供服務的連接阜為tcp 1455)。為了保證安全性,在路由器上需要配置成:外-〉內 只允許client訪問 server的tcp 1455連接阜,其他拒絕。

  針對現在的配置,存在的安全脆弱性如下:

  1、IP位址欺騙(使連接非正常復位)

  2、TCP欺騙(會話重放和劫持)

  存在上述隱患的原因是,路由器不能監測TCP的狀態。如果在內網的client和路由器之間放上防火牆,由於防火牆能夠檢測TCP的狀態,並且可以重新隨機產生TCP的序列號,則可以徹底消除這樣的脆弱性。同時,防火牆的一次性口令認證客戶端功能,能夠實現在對應用完全透明的情況下,實現對用戶的訪問控制,其認證支持標準的Radius協議和本機認證資料庫,可以完全與第三方的認證服務器進行互操作,並能夠實現角色的劃分。

  雖然,路由器的"Lock-and-Key"功能能夠通過動態訪問控制列表的方式,實現對用戶的認證,但該特性需要路由器提供Telnet服務,用戶在使用使也需要先Telnet到路由器上,使用起來不很方便,同時也不夠安全(開放的連接阜為黑客創造了機會)。

三、安全策略制定的複雜程度不同

  路由器的預定配置對安全性的考慮不夠,需要一些高階配置才能達到一些防範攻擊的作用,安全策略的制定絕大多數都是基於命令行的,其針對安全性的規則的制定相對比較複雜,配置出錯的概率較高。

  防火牆的預定配置既可以防止各種攻擊,達到既用既安全,安全策略的制定是基於全中文的GUI的管理工具,其安全策略的制定人性化,配置簡單、出錯率低。

  四、對性能的影響不同

  路由器是被設計用來轉發資料包的,而不是專門設計作為全特性防火牆的,所以用於進行包過濾時,需要進行的運算非常大,對路由器的CPU和記憶體的需要都非常大,而路由器由於其硬體成本比較高,其高性能配置時硬體的成本都比較大。

  防火牆的硬體配置非常高(採用通用的INTEL晶片,性能高且成本低),其軟件也為資料包的過濾進行了專門的優化,其主要模塊執行在操作系統的內核模式下,設計之時特別考慮了安全問題,其進行資料包過濾的性能非常高。

  由於路由器是簡單的包過濾,包過濾的規則條數的增加,NAT規則的條數的增加,對路由器性能的影響都相應的增加,而防火牆採用的是狀態包過濾,規則條數,NAT的規則數對性能的影響接近於零。

  五、審計功能的強弱差異巨大

  路由器本身沒有日誌、事件的存儲介質,只能通過採用外部的日誌服務器(如syslog,trap)等來完成對日誌、事件的存儲;路由器本身沒有審計分析工具,對日誌、事件的描述採用的是不太容易理解的語言;路由器對攻擊等安全事件的相應不完整,對於很多的攻擊、掃瞄等操作不能夠產生準確及時的事件。審計功能的弱化,使管理員不能夠對安全事件進行及時、準確的響應。

  六、防範攻擊的能力不同

  對於像Cisco這樣的路由器,其普通版本不具有應用層的防範功能,不具有入侵實時檢測等功能,如果需要具有這樣的功能,就需要生級升級IOS為防火牆特性集,此時不單要承擔軟件的升級費用,同時由於這些功能都需要進行大量的運算,還需要進行硬體配置的升級,進一步增加了成本,而且很多廠家的路由器不具有這樣的高階安全功能。可以得出:

  ·具有防火牆特性的路由器成本 > 防火牆 + 路由器

  ·具有防火牆特性的路由器功能 < 防火牆 + 路由器

  ·具有防火牆特性的路由器可擴展性 < 防火牆 + 路由器

  綜上所述,可以得出結論:用戶的網路拓撲結構的簡單與複雜、用戶應用程式的難易程度不是決定是否應該使用防火牆的標準,決定用戶是否使用防火牆的一個根本條件是用戶對網路安全的需求!

  即使用戶的網路拓撲結構和應用都非常簡單,使用防火牆仍然是必需的和必要的;如果用戶的環境、應用比較複雜,那麼防火牆將能夠帶來更多的好處,防火牆將是網路建設中不可或缺的一部分,對於通常的網路來說,路由器將是保護內部網的第一道關口,而防火牆將是第二道關口,也是最為嚴格的一道關口。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:47 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1