路由器

路由器是什么

　  是什么把网络相互连接起来？是路由器。路由器是互联网络的枢纽、"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。

　　所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。

　　早在40多年之间就已经出现了对路由技术的讨论，但是直到80年代路由技术才逐渐进入商业化的应用。路由技术之所以在问世之初没有被广泛使用主要是因为80年代之前的网络结构都非常简单，路由技术没有用武之地。直到最近十几年，大规模的互联网络才逐渐流行起来，为路由技术的发展提供了良好的基础和平台。

　　路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于 TCP/IP 的国际互联网络 Internet 的主体脉络，也可以说，路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至整个 Internet 研究领域中，路由器技术始终处于核心地位，其发展历程和方向，成为整个Internet研究的一个缩影。在当前我国网络基础建设和信息建设方兴未艾之际，探讨路由器在互连网络中的作用、地位及其发展方向，对于国内的网络技术研究、网络建设，以及明确网络市场上对于路由器和网络互连的各种似是而非的概念，都具有重要的意义。

路由器的原理

   路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络地址和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源 站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。

　　其工作原理如下：　（1）工作站A将工作站B的地址120.0.5连同数据信息以数据帧的形式发送给路由器1。　（2）路由器1收到工作站A的数据帧后，先从报头中取出地址120.0.5，并根据路径表计算出发往工作站B的最佳路径：R1->R2->R5->B；并将数据帧发往路由器2。　（3）路由器2重复路由器1的工作，并将数据帧转发给路由器5。　（4）路由器5同样取出目的地址，发现120.0.5就在该路由器所连接的网段上，于是将该数据帧直接交给工作站B。　（5）工作站B收到工作站A的数据帧，一次通信过程宣告结束。

　　事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会 降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。

　　近年来出现了交换路由器产品，从本质上来说它不是什么新技术，而是为了提高通信能力，把交换机的原理组合到路由器中，使数据传输能力更快、更好。

路由器的作用

路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。

　　从过滤网络流量的角度来看，路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段的交换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划分成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接收到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。但是，对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。路由器的另外一个明显优势就是可以自动过滤网络广播。从总体上说，在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。

　　一般说来，异种网络互联与多个子网互联都应采用路由器来完成。

　　路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径，并将该数据有效地传送到目的站点。由此可见，选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作，在路由器中保存着各种传输路径的相关数据－－路径表（Routing Table），供路由选择时使用。路径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。路径表可以是由系统管理员固定设置好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。

　　1．静态路径表

　　由系统管理员事先设置好固定的路径表称之为静态（static）路径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。

　　2．动态路径表

　　动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。

路由器的类型

互联网各种级别的网络中随处都可见到路由器。接入网络使得家庭和小型企业可以连接到某个互联网服务提供商；企业网中的路由器连接一个校园或企业内成千上万的计算机；骨干网上的路由器终端系统通常是不能直接访问的，它们连接长距离骨干网上的ISP和企业网络。互联网的快速发展无论是对骨干网、企业网还是接入网都带来了不同的挑战。骨干网要求路由器能对少数链路进行高速路由转发。企业级路由器不但要求端口数目多、价格低廉，而且要求配置起来简单方便，并提供QoS。

　　1．接入路由器

　　接入路由器连接家庭或ISP内的小型企业客户。接入路由器已经开始不只是提供SLIP或PPP连接，还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运行。诸如ADSL等技术将很快提高各家庭的可用带宽，这将进一步增加接入路由器的负担。由于这些趋势，接入路由器将来会支持许多异构和高速端口，并在各个端口能够运行多种协议，同时还要避开电话交换网。

　　2．企业级路由器

　　企业或校园级路由器连接许多终端系统，其主要目标是以尽量便宜的方法实现尽可能多的端点互连，并且进一步要求支持不同的服务质量。许多现有的企业网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置，但是它们不支持服务等级。相反，有路由器参与的网络能够将机器分成多个碰撞域，并因此能够控制一个网络的大小。此外，路由器还支持一定的服务等级，至少允许分成多个优先级别。但是路由器的每端口造价要贵些，并且在能够使用之前要进行大量的配置工作。因此，企业路由器的成败就在于是否提供大量端口且每端口的造价很低，是否容易配置，是否支持QoS。另外还要求企业级路由器有效地支持广播和组播。企业网络还要处理历史遗留的各种LAN技术，支持多种协议，包括IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。

　　3．骨干级路由器

　　骨干级路由器实现企业级网络的互联。对它的要求是速度和可靠性，而代价则处于次要地位。硬件可靠性可以采用电话交换网中使用的技术，如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是标准的。骨干IP路由器的主要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时，输入端口在转发表中查找该包的目的地址以确定其目的端口，当包越短或者当包要发往许多目的端口时，势必增加路由查找的代价。因此，将一些常访问的目的端口放到缓存中能够提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器，都存在路由查找的瓶颈问题。除了性能瓶颈问题，路由器的稳定性也是一个常被忽视的问题。

　　4．太比特路由器

　　在未来核心互联网使用的三种主要技术中，光纤和DWDM都已经是很成熟的并且是现成的。如果没有与现有的光纤技术和DWDM技术提供的原始带宽对应的路由器，新的网络基础设施将无法从根本上得到性能的改善，因此开发高性能的骨干交换/路由器（太比特路由器）已经成为一项迫切的要求。太比特路由器技术现在还主要处于开发实验阶段。

路由器的体系结构

   从体系结构上看，路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器；第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。

路由器的构成

    路由器具有四个要素：输入端口、输出端口、交换开关和路由处理器。

　　输入端口是物理链路和输入包的进口处。端口通常由线卡提供，一块线卡一般支持4、8或16个端口，一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口（称为路由查找），路由查找可以使用一般的硬件来实现，或者通过在每块线卡上嵌入一个微处理器来完成。第三，为了提供QoS（服务质量），端口要对收到的包分成几个预定义的服务级别。第四，端口可能需要运行诸如SLIP（串行线网际协议）和PPP（点对点协议）这样的数据链路级协议或者诸如PPTP（点对点隧道协议）这样的网络级协议。一旦路由查找完成，必须用交换开关将包送到其输出端口。如果路由器是输入端加队列的，则有几个输入端共享同一个交换开关。这样输入端口的最后一项功能是参加对公共资源（如交换开关）的仲裁协议。

　　交换开关可以使用多种不同的技术来实现。迄今为止使用最多的交换开关技术是总线、交叉开关和共享存贮器。最简单的开关使用一条总线来连接所有输入和输出端口，总线开关的缺点是其交换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路，具有N×N个交叉点的交叉开关可以被认为具有2N条总线。如果一个交叉是闭合，输入总线上的数据在输出总线上可用，否则不可用。交叉点的闭合与打开由调度器来控制，因此，调度器限制了交换开关的速度。在共享存贮器路由器中，进来的包被存贮在共享存贮器中，所交换的仅是包的指针，这提高了交换容量，但是，开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月能够翻一番，但存贮器的存取时间每年仅降低5%，这是共享存贮器交换开关的一个固有限制。

　　输出端口在包被发送到输出链路之前对包存贮，可以实现复杂的调度算法以支持优先级等要求。与输入端口一样，输出端口同样要能支持数据链路层的封装和解封装，以及许多较高级协议。

　　路由处理器计算转发表实现路由协议，并运行对路由器进行配置和管理的软件。同时，它还处理那些目的地址不在线卡转发表中的包。

路由器的基本协议与技术

VPN
VPN（Virtual Private Network-虚拟专用网）解决方案是路由器具有的重要功能之一。其解决方案大致如下：

　　1．访问控制

　　一般分为PAP（口令认证协议）和CHAP（高级口令认证协议）两种协议。PAP要求登录者向目标路由器提供用户名和口令，与其访问列表（Access List）中的信息相符才允许其登录。它虽然提供了一定的安全保障，但用户登录信息在网上无加密传递，易被人窃取。CHAP便应运而生，它把一随机初始值与用户原始登录信息（用户名和口令）经Hash算法翻译后形成新的登录信息。这样在网上传递的用户登录信息对黑客来说是不透明的，且由于随机初始值每次不同，用户每次的最终登录信息也会不同，即使某一次用户登录信息被窃取，黑客也不能重复使用。需要注意的是，由于各厂商采取各自不同的Hash算法，所以CHAP无互操作性可言。要建立VPN需要VPN两端放置相同品牌路由器。

　　2．数据加密

　　在加密过程中加密位数是一个很重要的参数，它直接关系到解密的难易程度，其中Intel 9000系列路由器表现最为优异，为一百多位加密。

　　3．NAT（Network Address Translation-网络地址转换协议）

　　如同用户登录信息一样，IP和MAC地址在网上无加密传递也很不安全。NAT可把合法IP地址和MAC地址翻译成非法IP地址和MAC地址在网上传递，到达目标路由器后反翻译成合法IP与MAC地址，这一过程有点像CHAP，翻译算法厂商各自有不同标准，不能实现互操作。

　　QoS

　　QoS（Quality of Service-服务质量）本来是ATM（Asynchronous Transmit Mode）中的专用术语，在IP上原来是不谈QoS的，但利用IP传VOD等多媒体信息的应用越来越多，IP作为一个打包的协议显得有点力不从心：延迟长且不为定值，丢包造成信号不连续且失真大。为解决这些问题，厂商提供了若干解决方案：第一种方案是基于不同对象的优先级，某些设备（多为多媒体应用）发送的数据包可以后到先传。第二种方案基于协议的优先级，用户可定义哪种协议优先级高，可后到先传，Intel和Cisco都支持。第三种方案是做链路整合MLPPP（Multi Link Point to Point Protocol），Cisco支持可通过将连接两点的多条线路做带宽汇聚，从而提高带宽。第四种方案是做资源预留RSVP（Resource Reservation Protocol），它将一部分带宽固定的分给多媒体信号，其它协议无论如何拥挤，也不得占用这部分带宽。这几种解决方案都能有效的提高传输质量。

　　RIP、OSPF和BGP协议

　　互联网上现在大量运行的路由协议有RIP（Routing Information Protocol-路由信息协议）、OSPF（Open Shortest Path First--开放式最短路优先）和BGP（Border Gateway Protocol—边界网关协议）。RIP、OSPF是内部网关协议，适用于单个ISP的统一路由协议的运行，由一个ISP运营的网络称为一个自治系统。BGP是自治系统间的路由协议，是一种外部网关协议。

　　RIP是推出时间最长的路由协议，也是最简单的路由协议。它主要传递路由信息（路由表）来广播路由。每隔30秒，广播一次路由表，维护相邻路由器的关系，同时根据收到的路由表计算自己的路由表。RIP运行简单，适用于小型网络，互联网上还在部分使用着RIP。

　　OSPF协议是“开放式最短路优先”的缩写。“开放”是针对当时某些厂家的“私有”路由协议而言，而正是因为协议开放性，才使得OSPF具有强大的生命力和广泛的用途。它通过传递链路状态（连接信息）来得到网络信息，维护一张网络有向拓扑图，利用最小生成树算法得到路由表。OSPF是一种相对复杂的路由协议。

　　总的来说，OSPF、RIP都是自治系统内部的路由协议，适合于单一的ISP（自治系统）使用。一般说来，整个互联网并不适合跑单一的路由协议，因为各ISP有自己的利益，不愿意提供自身网络详细的路由信息。为了保证各ISP利益，标准化组织制定了ISP间的路由协议BGP。

　　BGP处理各ISP之间的路由传递。其特点是有丰富的路由策略，这是RIP、OSPF等协议无法做到的，因为它们需要全局的信息计算路由表。BGP通过ISP边界的路由器加上一定的策略，选择过滤路由，把RIP、OSPF、BGP等的路由发送到对方。全局范围的、广泛的互联网是BGP处理多个ISP间的路由的实例。BGP的出现，引起了互联网的重大变革，它把多个ISP有机的连接起来，真正成为全球范围内的网络。带来的副作用是互联网的路由爆炸，现在互联网的路由大概是60000条，这还是经过“聚合”后的数字。 配置BGP需要对用户需求、网络现状和BGP协议非常了解，还需要非常小心，BGP运行在相对核心的地位，一旦出错，其造成的损失可能会很大！　IPv6技术

　　迅速发展中的互联网将不再是仅仅连接计算机的网络，它将发展成能同电话网、有线电视网类似的信息通信基础设施。因此，正在使用的IP（互联网协议）已经难以胜任，人们迫切希望下一代 IP即IPv6的出现。

　　IPv6是IP的一种版本，在互联网通信协议TCP/IP中，是OSI模型第3层(网络层)的传输协议。它同目前广泛使用的、1974年便提出的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3×109个增加到4.3×1038个。之所以必须从现行的IPv4改用IPv6，主要有二个原因。

　　1．由于互联网迅速发展，地址数量已经不够用，这使得网络管理花费的精力和费用令人难以承受。地址的枯竭是促使向拥有128位地址空间过渡的首要原因。

　　2．随着主机数目的增加，决定数据传输路由的路由表在不断加大。路由器的处理性能跟不上这种迅速增长。长此以往，互联网连接将难以提供稳定的服务。经由IPv6，路由数可以减少一个数量级。

　　为了使互联网连接许多东西变得简单，而且使用容易，必须采用IPv6。IPv6所以能做到这一点，是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。

　　IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向，许多路由器厂商目前已经投入很大力量以生产支持IPv6的路由器。当然IPv6也有一些值得注意和效率不高的地方，IPv4/NAT和IPv6将会共存相当长的一段时间。

路由器的配置与调试

   路由器在计算机网络中有着举足轻重的地位，是计算机网络的桥梁。通过它不仅可以连通不同的网络，还能选择数据传送的路径，并能阻隔非法的访问。

　　路由器的配置对初学者来说，并不是件十分容易的事。现将路由器的一般配置和简单调试介绍给大家，供朋友们在配置路由器时参考，本文以Cisco2501为例。

　　Cisco2501有一个以太网口（AUI）、一个Console口（RJ45）、一个AUX口（RJ45）和两个同步串口，支持DTE和DCE设备，支持 EIA/TIA-232、 EIA/TIA-449、 V.35 、X.25和EIA-530接口。

　　一．配置

　　1．配置以太网端口

　　# conf t（从终端配置路由器）

　　# int e0（指定E0口）

　　# ip addr ABCD XXXX（ABCD 为以太网地址，XXXX为子网掩码）

　　# ip addr ABCD XXXX secondary（E0口同时支持两个地址类型。如果第一个为 A类地址，则第二个为B或C类地址）

　　# no shutdown（激活E0口）

　　# exit

　　完成以上配置后，用ping命令检查E0口是否正常。如果不正常，一般是因为没有激活该端口，初学者往往容易忽视。用no shutdown命令激活E0口即可。

　　2．X.25的配置

　　# conf t

　　# int S0（指定S0口）

　　# ip addr ABCD XXXX（ABCD 为以太网S0 的IP地址，XXXX为子网掩码）

　　# encap X25-ABC（封装X.25协议。ABC指定X.25为DTE或DCE操作，缺省为DTE）

　　# x25 addr ABCD（ABCD为S0的X.25端口地址，由邮电局提供）

　　# x25 map ip ABCD XXXX br（映射的X.25地址。ABCD为对方路由器（如：S0）的IP 地址，XXXX为对方路由器（如：S0）的X.25端口地址）

　　# x25 htc X（配置最高双向通道数。X的取值范围1-4095，要根据 邮电局实际提供的数字配置）

　　# x25 nvc X（配置虚电路数，X不可超过邮电局实际提供的数否则将影响数据的正常传输）

　　# exit

　　S0端口配置完成后，用no shutdown命令激活E0口。如果ping S0端口正常，ping 映射的X.25 IP地址即对方路由器端口IP地址不通，则可能是以下几种情况引起的：1）本机X.25地址配置错误，重新与邮局核对（X.25地址长度为13位）；2）本机映射IP地址或X.25地址配置错误，重新配置正确；3）对方IP地址或X.25地址配置错误；4）本机或对方路由配置错误。

　　能够与对方通讯，但有丢包现象。出现这种情况，一般有以下几种可能：1）线路情况不好，或网卡、RJ45插头接触不良；2）x25 htc最高双向通道数X的取值范围和x25nvc 虚电路数X超出邮电局实际提供的数字。最高双向通道数和虚电路数这两个值越大越好，但绝对不能超出邮电局实际提供的数字，否则就会出现丢包现象。

　　3．专线的配置

　　# conf t

　　# int　S2（指定S2口）

　　# ip addr ABCD XXXX（ABCD 为S2 的IP地址，XXXX为子网掩码）

　　# exit

　　专线口配置完成后，用no shutdown命令激活S2口即可。

　　4．帧中继的配置

　　# conf t

　　# int s0

　　# ip addr ABCD XXXX （ABCD 为S0 的IP地址,XXXX为子网掩码）

　　# encap frante_relay （封装frante_relay 协议）

　　# no nrzi_encoding （NRZI=NO）

　　# frame_relay lmi_type q933a （LMI使用Q933A标准．LMI（Local management Interface） 有3种：ANSI：T1.617、CCITTY：Q933A和Cisco特有的标准）

　　# fram-relay intf-typ ABC（ABC为帧中继设备类型，它们分别是DTE设备、DCE交换机或NNI（网络接点接口）支持）

　　# frame_relay interface_dlci 110 br（配置DLCI（数据链路连接标识符））

　　# frame-relay map ip ABCD XXXX broadcast （建立帧中继映射。ABCD为对方IP地址，XXXX为本地DLCI号，broadcast允许广播向前转发或更新路由）

　　# no shutdown （激活本端口）

　　# exit

　　帧中继S0端口配置完成后，用ping命令检查S0口。如果不正常，通常是因为没有激活该端口，用no shutdown命令激活S0口即可。如果ping S0端口正常，ping 映射的IP地址不正常，则可能是帧中继交换机或对方配置错误，需要综合排查。

　　5．配置同步/异步口（适用于2522）

　　# conf t

　　# int s2

　　# ph asyn （配置S2为异步口）

　　# ph sync （配置S2为同步口）

　　6．动态路由的配置

　　# conf t

　　# router eigrp 20 （使用EIGRP路由协议。常用的路由协议有RIP、IGRP、IS-IS等）

　　# passive-interface serial0 （若S0与X.25相连，则输入本条指令）

　　# passive-interface serial1 （若S1与X.25相连，则输入本条指令）

　　# network ABCD （ABCD为本机的以太网地址）

　　# network XXXX （XXXX为S0的IP地址）

　　# no auto-summary

　　# exit

　　7．静态路由的配置

　　# ip router ABCD XXXX YYYY 90 （ABCD为对方路由器的以太网地址，XXXX 为子网掩码，YYYY为对方对应的广域网端口地址）

　　# dialer-list 1 protocol ip permail

　　二． 综合调试

　　当路由器全部配置完毕后，可进行一次综合调试。

　　1．首先将路由器的以太网口和所有要使用的串口都激活。方法是进入该口，执行no shutdown。

　　2．将和路由器相连的主机加上缺省路由（中心路由器的以太地址）。方法是在Unix系统的超级用户下执行：router add default XXXX 1（XXXX为路由器的E0口地址）。每台主机都要加缺省路由，否则，将不能正常通讯。

　　3．ping本机的路由器以太网口，若不通，可能以太网口没有激活或不在一个网段上。ping广域网口，若不通，则没有加缺省路由。ping对方广域网口，若不通，路由器配置错误。ping主机以太网口，若不通，对方主机没有加缺省路由。

　　4．在专线卡X.25主机上加网关（静态路由）。方法是在Unix系统的超级用户下执行：router add X.X.X.X Y.Y.Y.Y 1（X.X.X.X为对方以太网地址，Y.Y.Y.Y为对方广域网地址）。

　　5．使用Tracert对路由进行跟踪，以确定不通网段。

　　路由器的选购

　　选择路由器时应注意安全性、控制软件、网络扩展能力、网管系统、带电插拔能力等方面。

　　1．由于路由器是网络中比较关键的设备，针对网络存在的各种安全隐患，路由器必须具有如下的安全特性：

　　（1）可靠性与线路安全 可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况下，为此，备份是路由器不可或缺的手段之一。当主接口出现故障时，备份接口自动投入工作，保证网络的正常运行。当网络流量增大时，备份接口又可承当负载分担的任务。　（2）身份认证 路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。

　　（3）访问控制 对于路由器的访问控制，需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。

　　（4）信息隐藏 与对端通信时，不一定需要用真实身份进行通信。通过地址转换，可以做到隐藏网内地址，只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。

　　（5）数据加密

　　（6）攻击探测和防范

　　（7）安全管理

　　2．路由器的控制软件是路由器发挥功能的一个关键环节。从软件的安装、参数自动设置，到软件版本的升级都是必不可少的。软件安装、参数设置及调试越方便，用户使用就越容易掌握，就能更好地应用。

　　3．随着计算机网络应用的逐渐增加，现有的网络规模有可能不能满足实际需要，会产生扩大网络规模的要求，因此扩展能力是一个网络在设计和建设过程中必须要考虑的。扩展能力的大小主要看路由器支持的扩展槽数目或者扩展端口数目。

　　4．随着网络的建设，网络规模会越来越大，网络的维护和管理就越难进行，所以网络管理显得尤为重要。 5．在我们安装、调试、检修和维护或者扩展计算机网络的过程中，免不了要给网络中增减设备，也就是说可能会要插拔网络部件。那么路由器能否支持带电插拔，是路由器的一个重要的性能指标。

　　外型尺寸的选择

　　如果网络已完成楼宇级的综合布线，工程要求网络设备上机式集中管理，应选择19英寸宽的机架式路由器，如Cisco2509、华为2501（配置同Cisco2501）。如果没有上述需求，桌面型的路由器如Intel的8100和Cisco的1600系列，具有更高的性能价格比。

　　协议的选择

　　由于最初局域网并没先出标准后出产品，所以很多厂商如Apple和IBM都提出了自己的标准，产生了如AppleTalk和IBM协议，Novell公司的网络操作系统运行IPX／SPX协议，在连接这些异构网络时需要路由器对这些协议提供支持。Intel9100系列和9200系列的路由器可提供免费支持，3Com的系列路由产品也提供较广泛的协议支持。

　　路由器作为网络设备中的“黑匣子”，工作在后台。用户选择路由器时，多从技术角度来考虑，如可延展性、路由协议互操作性、广域数据服务支持、内部ATM支持、SAN集成能力等。另外，选择路由器还应遵循如下基本原则：即标准化原则、技术简单性原则、环境适应性原则、可管理性原则和容错冗余性原则。对于高端路由器，更多的还应该考虑是否和如何适应骨干网对网络高可靠性、接口高扩展性以及路由查找和数据转发的高性能要求。高可靠性、高扩展性和高性能的“三高”特性是高端路由器区别于中、低端路由器的关键所在。

　　CISCO路由器初始配置简介

　　很多初学路由器知识的网友对路由器的初始配置可能感到很陌生,本人在初学时也很困惑,因为一下出来很多提问不知如何是好,下面将最近刚调试的一台CISCO3640的初始配置整理出来与各位网友交流,如有疏漏之处,还请大家指正。

　　1.用CISCO随机带CONSOLE线,一端连在CISCO路由器的CONSOLE口,一端连在计算机的COM口。

　　2.打开电脑,启动超级终端.为您的连接取个名字,比如CISCO_SETUP,下一步选定连接时用COM1,下一步选定第秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无.最后选确定。

　　3.打开路由器电源,这时超级终端将出现以下画面:

　　System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)

　　Copyright (c) 1999 by cisco Systems, Inc.C3600 processor with 32768 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled

　　program load complete, entry point: 0x80008000, size: 0x4ed478 Self decompressing the image :

　　###################################################################

　　###################################################################

　　###################################################################

　　###################################################################

　　###################################################################

　　###################################################################

　　###################################################################

　　[OK]

　　Restricted Rights Legend

　　Use, duplication, or disclosure by the Government is

　　subject to restrictions as set forth in subparagraph

　　(c) of the Commercial Computer Software - Restricted

　　Rights clause at FAR sec. 52.227-19 and subparagraph

　　(c) (1) (ii) of the Rights in Technical Data and Computer

　　Software clause at DFARS sec. 252.227-7013.

　　cisco Systems, Inc.

　　170 West Tasman Drive

　　San Jose, California 95134-1706

　　Cisco Internetwork Operating System Software

　　IOS (tm) 3600 Software (C3640-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1)

　　Copyright (c) 1986-2000 by cisco Systems, Inc.

　　Compiled Tue 16-May-00 12:26 by ccai

　　Image text-base: 0x600088F0, data-base: 0x60924000

　　cisco 3640 (R4700) processor (revision 0x00) with 24576K/8192K bytes of memory.

　　Processor board ID 25125768

　　R4700 CPU at 100Mhz, Implementation 33, Rev 1.0

　　Bridging software.

　　X.25 software, Version 3.0.0.

　　2 FastEthernet/IEEE 802.3 interface(s)

　　1 Serial network interface(s)

　　DRAM configuration is 64 bits wide with parity disabled.

　　125K bytes of non-volatile configuration memory.

　　8192K bytes of processor board System flash (Read/Write)

　　--- System Configuration Dialog ---

　　Would you like to enter the initial configuration dialog? [yes/no]: y

　　您是否进入初始化配置对话,选Y

　　At any point you may enter a question mark '?' for help.

　　Use ctrl-c to abort configuration dialog at any prompt.

　　Default settings are in square brackets '[]'.Basic management setup configures only enough connectivity

　　for management of the system, extended setup will ask you

　　to configure each interface on the system

　　Would you like to enter basic management setup? [yes/no]: n

　　您是否进入基本配置安装,选N

　　First, would you like to see the current interface summary? [yes]: y

　　首先,您是否看一下当前端口状态

　　Any interface listed with OK? value "NO" does not have a valid configuration

　　Interface IP-Address OK? Method Status Protocol

　　FastEthernet0/0unassigned NO unset up down

　　Serial0/0 unassigned NO unset down down

　　FastEthernet0/1unassigned NO unset up down

　　Configuring global parameters:

　　Enter host name [Router]:RouterA

　　输入路由器的名字

　　The enable secret is a password used to protect access to

　　privileged EXEC and configuration modes. This password, after

　　entered, becomes encrypted in the configuration.

　　Enter enable secret: aaa

　　输入密文

　　The enable password is used when you do not specify an

　　enable secret password, with some older software versions, and

　　some boot images.

　　Enter enable password: bbb

　　输入密码(不能和密文相同)

　　The virtual terminal password is used to protect

　　access to the router over a network interface.

　　Enter virtual terminal password: ccc

　　输入虚拟终端的密码(以备远程登录)

　　Configure SNMP Network Management? [yes]: n

　　配置简单网管吗?选N

　　Configure IP? [yes]: y

　　配置IP吗?选Y

　　Configure IGRP routing? [yes]: n

　　配置IGRP路由选择协议吗?选N

　　Configure RIP routing? [no]:

　　配置IGRP路由选择协议吗?选N

　　Configure bridging? [no]:

　　配置桥接吗?选N

　　Async lines accept incoming modems calls. If you will have

　　users dialing in via modems, configure these lines.

　　Configure Async lines? [yes]: n

　　配置异步线路吗?选N

　　Configuring interface parameters:

　　Do you want to configure FastEthernet0/0 interface? [yes]: y

　　您是否想配置fastethernet0/0接口?选Y

　　Use the 100 Base-TX (RJ-45) connector? [yes]: y

　　用RJ45的连接器吗?选Y

　　Operate in full-duplex mode? [no]: y

　　选用全双工模式?选Y

　　Configure IP on this interface? [yes]: y

　　在这个接口上配置IP吗?选Y

　　IP address for this interface: 192.168.0.1

　　配置该接口的IP地址(在此地址为192.168.0.1

　　Subnet mask for this interface [255.255.255.0] :

　　配置该接口的子网掩码.(默认的是255.255.255.0,可以手工输入修改)

　　Class C network is 192.168.0.0, 24 subnet bits; mask is /24

　　Do you want to configure Serial0/0 interface? [yes]: y

　　您想配置serial0/0接口吗?选Y

　　Some supported encapsulations are

　　ppp/hdlc/frame-relay/lapb/x25/atm-dxi/smds

　　Choose encapsulation type [hdlc]:

　　选择封装方式(默认的封装方式是HDLC,您可根据与您的路由器相连选用的封装类型来决定用什么样的封装类型

　　No serial cable seen.

　　Choose mode from (dce/dte) [dte]:

　　(因为没有连串口线所以会让您选择设备类型)

　　Configure IP on this interface? [yes]: y

　　(在接口上配置IP)

　　Configure IP unnumbered on this interface? [no]:

　　IP address for this interface: 172.16.0.5

　　配置该接口的IP地址(在此地址为172.16.0.5)

　　Subnet mask for this interface [255.255.0.0] : 255.255.255.252

　　配置该接口的子网掩码.(默认的是255.255.0.0,可以手工输入修改为255.255.255.252)

　　Class B network is 172.16.0.0, 30 subnet bits; mask is /30

　　(以下配置同上)

　　Do you want to configure FastEthernet0/1 interface? [yes]:

　　Use the 100 Base-TX (RJ-45) connector? [yes]:

　　Operate in full-duplex mode? [no]: y

　　Configure IP on this interface? [yes]: y

　　IP address for this interface: 172.16.0.9

　　Subnet mask for this interface [255.255.0.0] : 255.255.255.252 Class B network is 172.16.0.0, 30 subnet bits; mask is /30

　　The following configuration command scrīpt was created:

　　(把您的配置显示出来)

　　hostname aaa

　　enable secret 5 $ul/V$ezbZFgvzGHD.YPSieC0Ew/

　　enable password RouterA

　　line vty 0 4

　　password ccc

　　no snmp-server

　　!

　　ip routing

　　no bridge 1

　　!

　　interface FastEthernet0/0

　　media-type 100BaseX

　　full-duplex

　　ip address 192.168.0.1 255.255.255.0

　　!

　　interface Serial0/0

　　encapsulation hdlc

　　ip address 172.16.0.5 255.255.255.252

　　!

　　interface FastEthernet0/1

　　media-type 100BaseX

　　full-duplex

　　ip address 172.16.0.9 255.255.255.252

　　dialer-list 1 protocol ip permit

　　dialer-list 1 protocol ipx permit

　　!

　　end

　　以下提示您是否保存这次设置

　　[0] Go to the IOS command prompt without saving this config.

　　[1] Return back to the setup without saving this config.

　　[2] Save this configuration to nvram and exit.

　　Enter your selection [2]: 2

　　选择2保存设置并存入NVRAM中

　　Building configuration...

　　[OK] Use the enabled mode 'configure' command to modify this configuration.

　　Press RETURN to get started!

　　路由器重新启动

　　00:00:08: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down

　　00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up

　　00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

　　00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down

　　00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down

　　00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

　　00:03:18: %IP-5-WEBINST_KILL: Terminating DNS process

　　00:03:24: %SYS-5-RESTART: System restarted --

　　Cisco Internetwork Operating System Software

　　IOS (tm) 3600 Software (C3640-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1)

　　Copyright (c) 1986-2000 by cisco Systems, Inc.

　　Compiled Tue 16-May-00 12:26 by ccai

　　RouterA>

　　进入用户模式

　　RouterA>en

　　Password:

　　RouterA#

　　进入全局模式

　　RouterA#sh run

　　查看现在运行的配置

　　Building configuration...

　　Current configuration:

　　!

　　version 12.1

　　service timestamps debug uptime

　　service timestamps log uptime

　　no service password-encryption

　　!

　　hostname RouterA

　　!

　　enable secret 5 $ul/V$ezbZFgvzGHD.YPSieC0Ew/

　　enable password bbb

　　!

　　memory-size iomem 25

　　ip subnet-zero

　　!

　　interface FastEthernet0/0

　　ip address 192.168.0.1 255.255.255.0

　　speed auto

　　full-duplex

　　!

　　interface Serial0/0

　　ip address 172.16.0.5 255.255.255.252

　　clockrate 2000000

　　!

　　interface FastEthernet0/1

　　ip address 172.16.0.9 255.255.255.252

　　speed auto

　　full-duplex

　　!

　　ip classless

　　no ip http server

　　!

　　dialer-list 1 protocol ip permit

　　dialer-list 1 protocol ipx permit

　　!

　　line con 0

　　transport input none

　　line aux 0

　　line vty 0 4

　　password ccc

　　login

　　!

　　end

　　现在您就完成了了一个新路由器的基本配置,接下来就可以进行进一步的详细配置了