路由器(router)簡介
路由器(router)是一種電腦網路連線設備,按照各種網路通信協定,大多數是 TCP/IP,少數是 IPX,極少數是其它協定,依照目地端網路位置,以路由器(router)為單位,分辨介面內部流量與外部流量,轉接到恰當的路由器(router)介面去。路由器(router)介面通常以乙太網路(ethernet)為主,序列專線介面(series)其次,整體數位網路(ISDN)再其次,訊框通信介面(frame relay)再其次,ATM,FDDI,IP over sonet,IP over fiber 等等 router 都有支援。
通常路由器(router)功能以傳輸介面轉換為主,路由決定為輔。絕大部分路由器(router)只有兩個介面,通常是一個 ethernet 介面加一個 series 介面,series 介面資料固定會導向 ethernet 介面,ethernet 介面會判斷是介面內通信還是介面外通信,介面外通信會導至 series 介面,ethernet 設備共用頻寬,路由器(router) 只是一部 ethernet 設備,ethernet 網路上設備發現不屬於區域網路內部通信,都會丟給路由器(router),再由路由器(router) 轉接出去。
路由器(router)直接銜接介面所屬網址不需要設定路由與選擇協定(routing protocol),路由器(router) 自己會處理,間接銜接網址需要在路由器(router) 上作設定,通常路由器(router)只有一個出口最簡單,設定預設路由(default route)是那個路由器介面,或是對應介面網址即可。有一種以上的路由,路由器(router)需要設定路由選擇路由協定(routing protocol),路由協定(routing protocol)大致可分為固定的靜態路由協定(static routing protocal)與動態調整路由協定(dinamic routing protocal)。動態路由協定絕大多數是路由器(router) 少部分是具有動態路由對照表能力的電腦,交換路由對照表。
路由協定(routing protocol)從適用範圍可分為適用區域網路(local area network)與廣域網路(wide area network)路由通信協定,適合區域的變動性快,儲存空間較小,大多是直接交換。適合廣域性的變動較慢,儲存空間較大,大多是間接交換。所謂大,大概指 64K 以上,小,大概指三百五百。變動快,大概三五分鐘收斂,變動慢,大概要一天或一週才會完全收斂。RIP RIP2 是常用的區域網路路由通信協定(local area network routing protocal),BGP BGP4 是常用的廣域網路路由通信協定(wide area routing protocal)。OSPF 是常用中型網路路由通信協定,有人說 OSPF 區域網路廣域網路都適合,但也有人說 OSPF 功能很好,但是代價不低,高不成低不就。
最簡單的路由器是一部電腦插兩片網路卡,可以銜接兩個不同網址的網路,隔離兩個網路內部流量與對外流量,不致互相干擾。目前個人電腦 CPU 處理能力快,網路卡也快,IO 處理能力強,1500 byte 的流量大概每秒可以處理 3~40 Mbits,64 byte 處理能力大致會照比例下降。用個人電腦作 router 有些缺點,第一速度不夠快,表現不穩,路由通信協定不足,個人電腦有硬碟,使用一般通用作業系統,故障率比較高,ethernet 之外其它種類界面支援不足。速路由器 CPU 用的不多,大多在介面上直接處理以加快速度。
路由器設定大致存放在路由器裡的不消失記憶體(flash memory),使用介面大致可分為兩類,一類直接接路由器 console port,通常是 RS232 9600,伴隨 modem control。另一類提供 remote login,有的利用 telnet,有的另用 WWW 介面。路由器設計大致分成兩類,一類設定立刻生效,一類要重新開機。設定內容通常需要經由 write 動作永久儲存。路由器的作業系統通常可經由網路直接提升版本(upgrade),通常使用 TFTP。
路由器通常都會提供 snmp 網路管理方式,讀或寫路由器內部 counter,甚至更改設定,同長提供 mib1 mib2 供使用扯讀取,mib1 大致為 layer 2,mib2 大致為 layer 3 4,可以透過專屬的網管系統或是共享軟體來管理路由器。
網路安全需要路由器存取控制(access-control)搭配,主要應用範圍在 router 介面進出流量過濾管制,console remote access 過濾管制,routing table 過濾管制。router 介面過濾管制通常可以針對介面進出過濾,可以針對 source ip,可以針對 destination ip,可以針對 tcp udp,可以針對 www proxy ftp telnet email domain 等不同應用過濾。過濾動作有的路由器在 CPU 做,過濾管制越多,router 效率會明顯下降。過濾動作有的在介面卡上利用硬體做,過濾不會影響路由器效率。
路由器也可以做流量統計,通常 layer 2 3大概都直接有 router 指令提供查詢,layer 4 大概有三類作法,一類 router 直接累計主動丟往工作站做後續處理,另一類工作站要主動去 router 抓,這兩類作法都會影響 router 效率,佔用網路頻寬。穩定作法是在 ethernet 上掛一部電腦去聽所有流量,並作統計分析,ATM 光纖介面,可亦利用分離光纖技術聽所有流量。共同問題是電腦處理速度夠不夠快。
InterNet IP address 有限,router 也可以扮演 NAT server 轉換 IP。大致作法是透過 router 兩個介面,一個介面使用內部 priv IP,一個介面使用正式 IP,內部 IP 容量較大,正式 IP 數量較少,當內部 IP 要出去時,NAT server,也就是 router 會機動指定一個未使用的正式 IP 對應到內部 IP,回來時 NAT server 也會作對應的轉換。為了節省正式 IP,會出去的才會對應,不同 port,也可以對應到相同的 IP。使用 NAT 可以節省 IP,DNS會很難處理。
Policy routing 會減緩 router 處理速度,policy routing 優先權可以凌駕 routing table,也可以用於 default route,大致是滿足 source ip 與 port 條件,導到特定介面或特定 IP 的特定 port 去。運用 policy route 與 NAT 可以做出 transparent proxy
沒有留言:
張貼留言