路由器技術(shù)綜述

在當(dāng)今信息化社會中，人們對數(shù)據(jù)通信的要求日益增加。路由器作為IP網(wǎng)的核心設(shè)備，其技術(shù)已成為當(dāng)前信息產(chǎn)業(yè)的關(guān)鍵技術(shù)。

什么是路由器

路由器是工作在OSI參考模型第三層——網(wǎng)絡(luò)層的數(shù)據(jù)包轉(zhuǎn)發(fā)設(shè)備。路由器通過轉(zhuǎn)發(fā)數(shù)據(jù)包來實現(xiàn)網(wǎng)絡(luò)互連。雖然路由器可以支持多種協(xié)議（例如TCP/IP、IPX/SPX、AppleTalk等協(xié)議），但是在我國絕大多數(shù)路由器運行TCP/IP協(xié)議。

路由器通常連接兩個或多個由IP子網(wǎng)或點到點協(xié)議標(biāo)識的邏輯端口，至少擁有1個物理端口。路由器根據(jù)收到數(shù)據(jù)包中的網(wǎng)絡(luò)層地址以及路由器內(nèi)部維護的路由表決定輸出端口以及下一跳地址，并且重寫鏈路層數(shù)據(jù)包頭實現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)包。

路由器通常動態(tài)維護路由表來反映當(dāng)前的網(wǎng)絡(luò)拓撲。路由器通過與網(wǎng)絡(luò)上其他路由器交換路由和鏈路信息來維護路由表。

路由器是連接IP網(wǎng)的核心設(shè)備。

路由器的分類

當(dāng)前路由器分類方法各異。各種分類方法有一定的關(guān)聯(lián)，但是并不完全一致。

從能力上分，路由器可分高端路由器和中低端路由器。各廠家劃分并不完全一致。通常將背板交換能力大于40G的路由器稱為高端路由器，背板交換能力40G以下的路由器稱為中低端路由器。以市場占有率最大的Cisco公司為例，12000系列為高端路由器，7500以下系列路由器為中低端路由器。

從結(jié)構(gòu)上分，路由器可分為模塊化結(jié)構(gòu)與非模塊化結(jié)構(gòu)。通常中高端路由器為模塊化結(jié)構(gòu)，低端路由器為非模塊化結(jié)構(gòu)。

從網(wǎng)絡(luò)位置劃分，路由器可分為核心路由器與接入路由器。核心路由器位于網(wǎng)絡(luò)中心，通常是使用高端路由器。要求快速的包交換能力與高速的網(wǎng)絡(luò)接口，通常是模塊化結(jié)構(gòu)。接入路由器位于網(wǎng)絡(luò)邊緣，通常使用中低端路由器。要求相對低速的端口以及較強的接入控制能力。

從功能分，路由器可分為通用路由器與專用路由器。一般所說的路由器為通用路由器。專用路由器通常為實現(xiàn)某種特定功能對路由器接口、硬件等作專門優(yōu)化。例如接入服務(wù)器用作接入撥號用戶，增強PSTN接口以及信令能力；VPN路由器增強隧道處理能力以及硬件加密；寬帶接入路由器強調(diào)寬帶接口數(shù)量及種類。

從性能上分，路由器可分為線速路由器以及非線速路由器。通常線速路由器是高端路由器，能以媒體速率轉(zhuǎn)發(fā)數(shù)據(jù)包；中低端路由器是非線速路由器。但是一些新的寬帶接入路由器也有線速轉(zhuǎn)發(fā)能力。

路由器分類方法還有很多，并且隨著路由器技術(shù)的發(fā)展，可能會出現(xiàn)越來越多的分類方法。

路由器功能

路由器通常實現(xiàn)下列基本功能：

實現(xiàn)IP、TCP、UDP、ICMP等互聯(lián)網(wǎng)協(xié)議。

連接到兩個或多個數(shù)據(jù)包交換的網(wǎng)絡(luò)。對每個連接到的網(wǎng)絡(luò)，實現(xiàn)該網(wǎng)絡(luò)所要求的功能。這些功能包括：

IP數(shù)據(jù)包封裝到鏈路層幀或從鏈路層幀中取出IP數(shù)據(jù)包。

按照該網(wǎng)絡(luò)所支持的最大數(shù)據(jù)包大小發(fā)送或接收IP數(shù)據(jù)報。該大小是網(wǎng)絡(luò)最大傳輸單元（MTU）。

將IP地址與相應(yīng)網(wǎng)絡(luò)的鏈路層地址相互轉(zhuǎn)換。例如將IP地址轉(zhuǎn)換成以太網(wǎng)硬件地址。

實現(xiàn)網(wǎng)絡(luò)支持的流量控制和差錯指示。

接收及轉(zhuǎn)發(fā)數(shù)據(jù)包，在收發(fā)過程中實現(xiàn)緩沖區(qū)管理、擁塞控制以及公平性處理。

出現(xiàn)差錯時辨認差錯并產(chǎn)生ICMP差錯及必要的差錯消息。

丟棄生存時間（TTL）域為0的數(shù)據(jù)包。

必要時將數(shù)據(jù)包分段。

按照路由表信息，為每個IP數(shù)據(jù)包選擇下一跳目的地。

支持至少一種內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）與其他同一自治域中路由器交換路由信息及可達性信息。支持外部網(wǎng)關(guān)協(xié)議（Exterior Gateway Protocol，EGP）與其他自治域交換拓撲信息。

提供網(wǎng)絡(luò)管理和系統(tǒng)支持機制，包括存儲/上載配置、診斷、升級、狀態(tài)報告、異常情況報告及控制等。

路由器技術(shù)

路由器軟件

路由器技術(shù)中最核心的技術(shù)是軟件技術(shù)。路由軟件是最復(fù)雜的軟件之一。有些路由軟件運行在UNIX操作系統(tǒng)上，有些路由軟件運行在嵌入式操作系統(tǒng)上，甚至有些軟件為提高效率，本身就是操作系統(tǒng)。全球最大的路由器生產(chǎn)廠家Cisco公司曾一度宣稱是一個軟件公司，可見路由器軟件在路由器技術(shù)中所占的重要地位。

路由器軟件一般實現(xiàn)路由協(xié)議功能、查表轉(zhuǎn)發(fā)功能和管理維護等其他功能。由于互聯(lián)網(wǎng)規(guī)模龐大，運行在互聯(lián)網(wǎng)上路由器中的路由表非常巨大，可能包含幾十萬條路由。查表轉(zhuǎn)發(fā)工作可想而知非常繁重。在高端路由器中上述功能通常由ASIC芯片硬件實現(xiàn)。

路由軟件的高復(fù)雜性另一方面體現(xiàn)在高可靠性、高可用性以及魯棒性。實現(xiàn)路由軟件的功能并不復(fù)雜，在免費共享軟件中我們甚至可以得到路由協(xié)議和數(shù)據(jù)轉(zhuǎn)發(fā)的實現(xiàn)源碼。但是難點在于需要該軟件每年365天，每天24小時高效可靠地運行。

在路由器研制過程中，可以通過購買商用源碼等形式迅速實現(xiàn)路由器。但是通常認為路由器軟件需要一年甚至兩年的時間來穩(wěn)定。

可編程ASIC

ASIC芯片是專用集成電路，是當(dāng)前路由器實現(xiàn)線速轉(zhuǎn)發(fā)數(shù)據(jù)的的核心技術(shù)。可編程ASIC將多項功能集中到一個芯片上，具有設(shè)計簡單、可靠性高、電源消耗少等優(yōu)點，能使設(shè)備得到更高的性能和更低的成本。

通過ASIC芯片的使用，還可以增加設(shè)備端口密度。使用ASIC芯片的端口密度是使用通用芯片時端口密度的數(shù)倍。

可編程ASIC芯片的設(shè)計是當(dāng)前高性能路由器實現(xiàn)的硬件保證。

路由器接口

路由器接口用作將路由器連接到網(wǎng)絡(luò)，可以分為局域網(wǎng)接口及廣域網(wǎng)接口兩種。局域網(wǎng)接口主要包括以太網(wǎng)(10M、100M和1000M以太網(wǎng))、令牌環(huán)、令牌總線、FDDI等網(wǎng)絡(luò)接口。廣域網(wǎng)主要包括E1/T1、E3/T3、DS3、通用串行口（可轉(zhuǎn)換成X.21 DTE/DCE、V.35 DTE/DCE、RS?232 DTE/DCE、RS?449 DTE/DCE、EIA530 DTE）ATM接口、POS接口等網(wǎng)絡(luò)接口。

當(dāng)前路由器接口技術(shù)較成熟，難點在于高密度接口板的設(shè)計與制作和高速接口（大于/等于2.5Gbps）的實現(xiàn)。

路由協(xié)議

路由器路由協(xié)議的實現(xiàn)是路由器軟件中重要組成部分。路由協(xié)議用作建立以及維護路由表。路由表用于為每個IP包選擇輸出端口或下一跳地址。開放的路由協(xié)議主要包含RIP/RIPv2、OSPF、IS－IS和BGP4。

RIP/RIPv2、OSPF和IS－IS作為域內(nèi)路由協(xié)議，一般用在AS(自治系統(tǒng))內(nèi)部，用于在AS內(nèi)部計算以及交換網(wǎng)絡(luò)可達性消息。RIP/RIPv2是距離向量路由協(xié)議，一般用于企業(yè)內(nèi)部小規(guī)模網(wǎng)絡(luò)。OSPF和IS－IS協(xié)議原理和實現(xiàn)都類似，是鏈路狀態(tài)協(xié)議，一般用于大規(guī)模企業(yè)網(wǎng)或運營商網(wǎng)絡(luò)。

BGP4協(xié)議基于距離向量，是當(dāng)前AS間路由協(xié)議的唯一選擇。通常BGP交換大量網(wǎng)絡(luò)可達性消息，是IP網(wǎng)上重要協(xié)議。

路由協(xié)議的實現(xiàn)與路由器軟件要求相似，需要實現(xiàn)高可靠、高穩(wěn)定、魯棒性以及安全性。路由器性能

路由器性能通常主要包含如下內(nèi)容：

背板能力：通常指路由器背板容量或者總線能力。

吞吐量：指路由器包轉(zhuǎn)發(fā)能力。

丟包率：指路由器在穩(wěn)定的持續(xù)負荷下由于資源缺少在應(yīng)該轉(zhuǎn)發(fā)的數(shù)據(jù)包中不能轉(zhuǎn)發(fā)的數(shù)據(jù)包所占比例。

轉(zhuǎn)發(fā)時延：指需轉(zhuǎn)發(fā)的數(shù)據(jù)包最后一比特進入路由器端口到該數(shù)據(jù)包第一比特出現(xiàn)在端口鏈路上的時間間隔。

路由表容量：指路由器運行中可以容納的路由數(shù)量。

可靠性：指路由器可用性、無故障工作時間和故障恢復(fù)時間等指標(biāo)。

路由器隊列管理機制

由于路由器是基于分組交換的設(shè)備，在每個端口上帶寬統(tǒng)計復(fù)用，所以路由器必須在端口上維護一個或多個隊列，否則路由器無法處理多個數(shù)據(jù)包同時向同一端口轉(zhuǎn)發(fā)以及端口上QoS能力等問題。隊列管理算法的好壞直接影響路由器性能、QoS能力以及擁塞管理能力。通常隊列管理算法分為基于時標(biāo)算法、基于輪轉(zhuǎn)算法以及基于優(yōu)先級隊列等。

基于時標(biāo)的分組調(diào)度算法都有相同的形式，它們?yōu)槊總€分組維持兩個時標(biāo)，一個命名為起始時標(biāo)（start time－stamp），一個命名為完成時標(biāo)（finish time－stamp）。路由器根據(jù)上述時標(biāo)來決定下一轉(zhuǎn)發(fā)數(shù)據(jù)包?；跁r標(biāo)的算法最常見的有WFQ、WF2Q等。

另一類調(diào)度算法是基于輪轉(zhuǎn)調(diào)度機制的，它們的工作原理與操作系統(tǒng)里的多任務(wù)輪轉(zhuǎn)調(diào)度有類似之處?；谳嗈D(zhuǎn)的調(diào)度算法通常有WRR、DRR等。

基于優(yōu)先級的隊列管理能根據(jù)預(yù)先規(guī)定或用戶指定的優(yōu)先級，調(diào)度不同隊列的數(shù)據(jù)包轉(zhuǎn)發(fā)。

路由器通常還在隊列中使用RED（隨即早期偵測）、WRED（加權(quán)隨即早期偵測）等機制來避免擁塞。

MPLS技術(shù)

作為一種高效的IP骨干網(wǎng)技術(shù)平臺，MPLS技術(shù)為下一代的IP網(wǎng)絡(luò)提供了一種靈活的而且具有可擴展性的骨干網(wǎng)交換技術(shù)基礎(chǔ)。使用MPLS技術(shù)，將可以大大提高網(wǎng)絡(luò)的運行效率，可以實現(xiàn)對IP網(wǎng)上業(yè)務(wù)的QoS劃分，并且可以通過流量工程對網(wǎng)絡(luò)的資源進行合理的分配，實現(xiàn)約束路由。借助于這些能力，MPLS網(wǎng)絡(luò)還將能夠提供高效的VPN業(yè)務(wù)、實時業(yè)務(wù)等?？梢哉f，MPLS技術(shù)很有可能成為IP網(wǎng)絡(luò)向下一代的電信級的IP網(wǎng)絡(luò)演進中的關(guān)鍵技術(shù)。所以MPLS技術(shù)也可能是路由器是否成為下一代IP網(wǎng)絡(luò)的核心設(shè)備的關(guān)鍵。

雖然MPLS擁有種種優(yōu)點，但是在大網(wǎng)上還沒有廣泛應(yīng)用。原因在于協(xié)議不成熟，多廠商互通性存在問題，MPLS跨AS甚至跨Area存在問題，VC Merge(VC合并)需要研究。然而在目前看來，MPLS是實現(xiàn)基于網(wǎng)絡(luò)VPN最理想的方案并且能夠?qū)崿F(xiàn)流量工程。未來IP網(wǎng)的研究必須探討采用MPLS的可能性。路由器設(shè)備必須考慮實現(xiàn)MPLS。

VPN技術(shù)

VPN是指在公用網(wǎng)絡(luò)上建立虛擬私有網(wǎng)?？梢詮牟煌慕嵌葘PN進行分類：

按接入方式劃分

專線VPN：為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN實現(xiàn)方案。

撥號VPN(又稱VPDN)：指為利用撥號PSTN或ISDN接入 ISP的用戶提供的VPN業(yè)務(wù)。

按協(xié)議類型劃分

第二層隧道協(xié)議：點到點隧道協(xié)議(PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(L2F)、第二層隧道協(xié)議(L2TP)。

第三層隧道協(xié)議：通用路由封裝協(xié)議(GRE)、IP安全(IPSec)。

MPLS隧道協(xié)議可以看成在第二層和第三層之間。

按VPN的發(fā)起方式劃分

客戶發(fā)起(也稱基于客戶的)：VPN服務(wù)提供的起始點和終止點是面向客戶的，其內(nèi)部技術(shù)構(gòu)成、實施和管理對VPN客戶可見。

服務(wù)器發(fā)起(也稱客戶透明方式或基于網(wǎng)絡(luò)的)：在公司中心部門和ISP處(稱為POP)安裝VPN軟件，客戶無須安裝任何特殊軟件。

按目前運營商所開展的類型劃分

撥號VPN業(yè)務(wù)(VPDN)：就是第一種劃分方式中的VPDN。

虛擬租用線(VLL)：是對傳統(tǒng)的租用線業(yè)務(wù)的仿真，以IP網(wǎng)絡(luò)對租用線進行模擬，而這樣一條虛擬租用線兩端的用戶看來，該虛擬租用線等價于過去的租用線。

虛擬專用路由網(wǎng)(VPRN)業(yè)務(wù)：包括兩類，一是使用傳統(tǒng)的VPN協(xié)議，如 IPSec、GRE等實現(xiàn)的VPRN。另外一種是MPLS方式的VPN。

路由器上的QoS

路由器上的QoS可以通過下面幾種手段獲得：

通過大帶寬得到。在路由器上除增加接口帶寬以外不作任何額外工作來保障QoS。

由于數(shù)據(jù)通信沒有相應(yīng)公認的數(shù)學(xué)模型作保障，該方法只能粗略地使用經(jīng)驗值作估計。通常認為當(dāng)帶寬利用率到達50％以后就應(yīng)當(dāng)擴容，保證接口帶寬利用率小于50％。

通過端到端帶寬預(yù)留實現(xiàn)。該方法通過使用RSVP或者類似協(xié)議在全網(wǎng)范圍內(nèi)通信的節(jié)點間端到端預(yù)留帶寬。該方法能保證QoS，但是代價太高，通常只在企業(yè)網(wǎng)或者私網(wǎng)上運行，在大網(wǎng)公網(wǎng)上無法實現(xiàn)。

通過接入控制、擁塞控制和區(qū)分服務(wù)（Diff?Serv）等方式得到。該方式無法完全保證QoS。這能與增加接口帶寬等方式結(jié)合使用，在一定程度上提供相對的CoS。

通過MPLS流量工程得到。

路由器安全性

路由器的安全性分兩方面，一方面是路由器本身的安全，另一方面是數(shù)據(jù)的安全。

由于路由器是互聯(lián)網(wǎng)的核心，是網(wǎng)絡(luò)互連的關(guān)鍵設(shè)備。所以路由器的安全要求比其他設(shè)備的安全性要求更高。主機的安全漏洞最多導(dǎo)致該主機無法訪問，路由器的安全漏洞可能導(dǎo)致整個網(wǎng)絡(luò)不可訪問。

路由器的安全漏洞可能存在管理上原因和技術(shù)上原因。在管理上，對路由器口令糟糕的選擇、路由協(xié)議授權(quán)機制的不恰當(dāng)使用、錯誤的路由配置都可能導(dǎo)致路由器工作出現(xiàn)問題。技術(shù)上路由器的安全漏洞可能有如下方面：

惡意攻擊。如竊聽、流量分析、假冒、重發(fā)、拒絕服務(wù)、資源非授權(quán)訪問、干擾、病毒等攻擊。

軟件漏洞。后門、操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、TCP/IP協(xié)議漏洞、網(wǎng)絡(luò)服務(wù)等都可能會存在漏洞。

路由器所傳遞數(shù)據(jù)的安全可以由網(wǎng)絡(luò)提供或者用戶提供。如果由網(wǎng)絡(luò)提供則只與接入路由器相關(guān)。通?？梢杂山尤?strong>路由器提供IPSec安全通道來保證安全。