路由器知识讲解

路由器知识讲解 全有文档友情提供 www.docin.com/ldflover 路由器知识讲解 目 录 一、路由器的起源 二、路由器的发展 三、路由器的应用 四、路由器与交换机的区别 五、每周小故事 全有文档友情提供 www.docin.com/ldflover 一、安全路由器的起源 安全路由器这个词是Infonetics研究公司在2005年所提出来的，主要是指整合了以往防火墙或VPN网关功能，提供给企业应用的新类型路由器产品。在2006年的市场 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 中，Infonetics指出2004到2005年全球安全路由器收入激增121%，出货量增长近两倍，整个市场由标准路由器向安全路由器过渡，未来路由器市场份额增长主要的拉动力量就是安全路由器。 二、安全路由器的发展 安全路由器快速成长的原因是企业持续进行网络升级，由以往只要求连接，转而为寻找整合安全特性、QoS和支持VoIP的平台。在这个风潮之下，以往的路由器显得功能不足，具有防火墙、加密VPN、带宽管以及URL过滤等安全功能的路由器产品应运而生。思科所推出的ISR产品，在2005/2006年取得很大的成功，就是受这个风潮的影响。 但是Qno侠诺科技从各地的市场反应发现，安全路由器在过去几年主要针对较大型企业所提供，价位偏高，模块化的设计也使管理益为困难。在2007年开始，由于全国各地发生的网络攻击及网络升级，安全路由器的概念将正式进入中小企业的应用。Qno侠诺科技发现中国网络攻击，包括SYN及ARP攻击，有渐渐从网吧向企业漫延的现象。对于企业而言，购买独立的防火墙不但成本高昂，而且设定管理又很复杂，不如一次升级到适合的安全路由器，一次解决网络安全的问题，又能达到网络升级，为未来建置VPN及VoIP进行准备。侠诺综合市场上各式针对中小企业的安全路由器产品，整理了针对中小企业安全路由器的特色: 易于管理的界面:对于中小企业而言，往往没有专门的网管维护人员，因此易于管理的界面就很容易操作。很多网管都认为文字模式的管理界面，是给较高级产品的。其实不然，思科也在其ISP采用基于Web的直观设备管理工具SDM (Security Device Manager )，可见Web管理界面及直观配置的重要性。Qno侠诺全线产品自2004年采用Web管理界面及直观配置，也是近年来才受到企业用户的认同。 性价比高的网络芯片:为了整合多种功能以及进行功能的集成，以往的安全路由器往往采用高阶或是订制的网络芯片。这些芯片确实是功能强大，而且运作稳定，但相对高昂的成本价格及特殊的工作软件，也使产品整体的价格居高不下。这里带出了中小企业需求的第二个特点，那就是性价比要高，因为中小企业费用控制较严格，对高价产品接受度较低。而Qno侠诺科技产品所采用的Intel IXP系列网络处理器，由于采用厂家多，生产数量大，因此相对成本能压低，其价位可以作到中小企业较易接受。 全有文档友情提供 www.docin.com/ldflover 适当的整合功能:网络芯片是网络产品的动力来源，由于价位的限制，因此中小企业只能追求较平价的处理器，要求的整合功能也较为有限，不会天马行空。也就是中小企业所要求的安全路由器，够用就好，而不会期望经由模块的弹性升级，持续增加新的功能。最好是现有的功能，足够未来二年的使用，价格又很合理。一般来说相对于以往数万元的安全路由器，现在很多数千元的安全路由器更受中小企业青睐。 强调防攻击及稳定运作:在近一年中国互联网上，前有BT、点点通下载软件，最近则有ARP、SYN攻击，对于宽带接入造成很大影响。相对于中毒、或是垃圾邮件等造成单机运作影响的网络安全威胁，中小企业更注重会造成全网掉线或是中止企业运作的防攻击及稳定功能。也就是强调路由器必须协助企业保持营运，而单机的安全则由单机负责。 安全路由器在大企业网络拓朴的角色，是在核心层上实现用户路由信息转发的安全控制，而在企业内网有其它专门安全设备配合针对特定安全事件进行管理，弥补了网络上有可能存在的网络安全漏洞，使得安全设备之间相得益彰，最大化的减少了网络安全事件的发生。对于中小企业及大型企业的分支机构来说，他们没有足够的资金和人员维护配置各种类型的安全设备，因此需求的产品概念和以往的安全路由器是不太一样的。中小企业应该根据自身的需求量身配置合适的安全路由器。安全路由器的分类一般可分为高性能安全路由器和VPN安全路由器，后者是指具有VPN功能，可让中小企业建置VPN。不过由于中小企业的要求差异不大，因此这二者要求的功能是近似的，只是后者多了VPN功能。 三、路由器的应用 大家都知道通过在路由器或交换机上设置访问控制列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf ACL，可以在一定程度上起到提高安全，防范黑客与病毒攻击的效果，笔者所在公司也一直在使用这个方法。 然而，笔者却在实际工作中发现了一个影响安全的问题，如果对路由器的默认设置不注意的话，很可能会让强大的ACL列表失效，就好比二战的马其诺防线一样，病毒与黑客可以非常轻松地绕道攻击内网计算机。 安全分析: 有过路由器配置经验的读者应该知道网络管理员经常通过在路由器或交换机上设置访问控制列表来完成防范病毒和黑客的作用。Cisco出品的路由器或交换机的访问控制列表都默认在结尾添加了“DENY ANY ANY”语句，这句话的意思是将所有不符合访问控制列表(ACL)语句设定规则的数据包丢弃。 最近笔者所在公司添置了华为的2621系列路由器，一般情况下CISCO和华为设备的配置方法基本相同，所以笔者按照在Cisco路由器上的设置语句制定了ACL规则，并将这些规 全有文档友情提供 www.docin.com/ldflover 则输入到华为路由器上。由于CISCO默认自动添加DENY ANY ANY语句，所以笔者也想当然的认为华为路由器也会默认将这个命令添加。然而，在配置后却发现所有ACL过滤规则都没有生效，该过滤的数据包仍然被路由器正常转发。 经过反复研究、查询资料，笔者发现原来华为公司的访问控制列表在结尾处添加的是“PERMIT ANY ANY”语句，这样对于不符合访问控制列表(ACL)语句设定规则的数据包将容许通过，这样造成了一个严重后果，那就是不符合ACL设定规则的数据包也将被路由器无条件转发而不是Cisco公司采用的丢弃处理，这造成了该过滤的数据包没有被过滤，网内安全岌岌可危。非法数据包绕过了网络管理员精心设置的防病毒“马其诺防线”，从而轻而易举的侵入了用户的内网。 解决措施: 如何解决这个问题呢?这个问题是因为华为路由器的默认设置造成的。我们可以在ACL的最后添加上“DENY ANY ANY”语句或将默认的ACL结尾语句设置为DENY ANY ANY.头一种方法仅仅对当前设置的ACL生效，以后设置新ACL时路由器还是默认容许所有数据包通过;而第二种方法则将修改路由器的默认值，将其修改成和CISCO设备一样的默认阻止所有数据包。 1、ACL规则直接添加法 在华为设备上设置完所有ACL语句后再使用“rule deny ip source any destination any”将没有符合规则的数据包实施丢弃处理。 2.修改默认设置法 在华为设备上使用“firewall default deny”，将默认设置从容许转发变为丢弃数据包。 从而一劳百逸的解决默认漏洞问题。因此笔者推荐大家使用第二种方法解决这个默认设置的缺陷问题。 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf : 经过这次“马其诺”事件，我们可以发现即使是相同的配置命令，如果厂商不同最好事先查阅一下用户手册(特别注意默认设置)，往往默认设置会造成很多不明不白的故障。发现问题以后也不要轻易怀疑设备硬件有问题，应该多从软件及配置命令入手查找问题所在。一个小小的默认设置就将精心打造的防病毒体系完全突破，所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况，确保所实施的手段得以生效。 全有文档友情提供 www.docin.com/ldflover 四、路由器与交换机的区别 计算机网络往往由许多种不同类型的网络互连连接而成。如果几个计算机网络只是在物理上连接在一起，它们之间并不能进行通信，那么这种“互连”并没有什么实际意义。因此通常在谈到“互连”时，就已经暗示这些相互连接的计算机是可以进行通信的，也就是说，从功能上和逻辑上看，这些计算机网络已经组成了一个大型的计算机网络，或称为互联网络，也可简称为互联网、互连网。 将网络互相连接起来要使用一些中间设备(或中间系统)，ISO的术语称之为中继(relay)系统。根据中继系统所在的层次，可以有以下五种中继系统: 1.物理层(即常说的第一层、层L1)中继系统，即转发器(repeater)。 2.数据链路层(即第二层，层L2)，即网桥或桥接器(bridge)。 3.网络层(第三层，层L3)中继系统，即路由器(router)。 4.网桥和路由器的混合物桥路器(brouter)兼有网桥和路由器的功能。 5.在网络层以上的中继系统，即网关(gateway). 当中继系统是转发器时，一般不称之为网络互联，因为这仅仅是把一个网络扩大了，而这仍然是一个网络。高层网关由于比较复杂，目前使用得较少。因此一般讨论网络互连时都是指用交换机和路由器进行互联的网络。本文主要阐述交换机和路由器及其区别。 2 交换机和路由器 “交换”是今天网络里出现频率最高的一个词，从桥接到路由到ATM直至电话系统，无论何种场合都可将其套用，搞不清到底什么才是真正的交换。其实交换一词最早出现于电话系统，特指实现两个不同电话机之间话音信号的交换，完成该工作的设备就是电话交换机。所以从本意上来讲，交换只是一种技术概念，即完成信号由设备入口到出口的转发。因此，只要是和符合该定义的所有设备都可被称为交换设备。由此可见，“交换”是一个涵义广泛的词语，当它被用来描述数据网络第二层的设备时，实际指的是一个桥接设备;而当它被用来描述数据网络第三层的设备时，又指的是一个路由设备。 我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备，它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。 全有文档友情提供 www.docin.com/ldflover 由此可见，交换机内部核心处应该有一个交换矩阵，为任意两端口间的通信提供通路，或是一个快速交换总线，以使由任意端口接收的数据帧从其他端口送出。在实际设备中，交换矩阵的功能往往由专门的芯片(ASIC)完成。另外，以太网交换机在设计思想上有一个重要的假设，即交换核心的速度非常之快，以致通常的大流量数据不会使其产生拥塞，换句话说，交换的能力相对于所传信息量而无穷大(与此相反，ATM交换机在设计上的思路是，认为交换的能力相对所传信息量而言有限)。 虽然以太网第二层交换机是基于多端口网桥发展而来，但毕竟交换有其更丰富的特性，使之不但是获得更多带宽的最好途径，而且还使网络更易管理。 而路由器是OSI 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 模型的网络层中的分组交换设备(或网络层中继设备)，路由器的基本功能是把数据(IP报文)传送到正确的网络，包括: 1.IP数据报的转发，包括数据报的寻径和传送; 2.子网隔离，抑制广播风暴; 3.维护路由表，并与其他路由器交换路由信息，这是IP报文转发的基础。 4.IP数据报的差错处理及简单的拥塞控制; 5.实现对IP数据报的过滤和记帐。 对于不同地规模的网络，路由器的作用的侧重点有所不同。 在主干网上，路由器的主要作用是路由选择。主干网上的路由器，必须知道到达所有下层网络的路径。这需要维护庞大的路由表，并对连接状态的变化作出尽可能迅速的反应。路由器的故障将会导致严重的信息传输问题。 在地区网中，路由器的主要作用是网络连接和路由选择，即连接下层各个基层网络单位,,园区网，同时负责下层网络之间的数据转发。 在园区网内部，路由器的主要作用是分隔子网。早期的互连网基层单位是局域网(LAN)，其中所有主机处于同一逻辑网络中。随着网络规模的不断扩大，局域网演变成以高速主干和路由器连接的多个子网所组成的园区网。在其中，处个子网在逻辑上独立，而路由器就是唯一能够分隔它们的设备，它负责子网间的报文转发和广播隔离，在边界上的路由器则负责与上层网络的连接。 全有文档友情提供 www.docin.com/ldflover 五、每周小故事 老鼠当推销员 彭尼是美国一有零售商的老板，商店的生意很不景气，以至仓库里堆满了积压的货品，成了老鼠栖身地场所。彭尼不得不经常到仓库里灭老鼠。这使他发现了一种奇特的现象:“往往在一个老鼠洞里能掏出一窝老鼠，但很少发现有老鼠单独居住的。 彭尼是精明的生意人，善于把发现的奇特现象，运用到经营中来。 他在一块胶合板上凿了50个洞。洞边分别编上10%、20%、30%、40%的号码。再在胶合板后面安上一排瓶子，瓶子里装着他从仓库里捕捉的老鼠。当他把这些放到柜台上时，吸引了很多顾客看热闹。彭尼对围观的顾客说:他把瓶子里的老鼠放出来，老鼠钻进哪个洞，便按洞边标明的折扣出售商品。 围观的顾客感到非常有趣，都纷纷要求购货。彭尼便一次次放出老鼠。它们分别钻进了一个个洞里。但奇怪的是，这些老鼠钻进的都是标明降价10%或20%的洞，从不去钻30%或40%的洞。 顾客们纷纷议论:“难道这此老鼠经过特殊训练的吗,”彭尼笑容满面地说:“这一点请放心，我也没有这么大的本领来训练老鼠。” 原来，彭尼利用并非人所共知的老鼠喜欢群居的特性，在需要它们的钻的洞上途上些老鼠的粪便，老鼠就自然而然地钻进了洞里。顾客毕竟是带流动性的，他们谁也没有人对彭尼的 办法 鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载 作深入研究。他们每次购货，能看到老鼠钻洞的表演，还能得到10%或20%的优惠，他们就心满意足了。不久，彭尼的库存货物就销售一空。