基于路由器的网络技术.doc

1、基于路由器的网络技术摘要本文首先介绍了路由器的基本概念和分类方法。在此基础上，重点对Ipv6技术、提高路由器吞吐量的技术、可编程ASIC技术、VPN技术、QoS技术、MPLS技术、多播技术、网管技术等八种与路由器相关的新技术进行了全面的分析，对这些技术的发展作了高度的概括和总结。关键字：路由器网络网络技术 AbstractIn this paper, the basic concept and routers classification method. On this basis, focusing on IPv6 technology, to improve the throughput

2、of router technology, programmable ASIC technology, VPN, QoS, MPLS technology, multicast technology, network management technology, and other relevant eight and routers new technologies conducted a comprehensive analysis of the development of these technologies made a highly summarized and concluded

3、.Keyword: network router network technology目 录 第一章 路由器的基本的活动活动和对方电话fdf概念和分类411路由器的基本构成部分：412路由器的基本功能：413路由器的分类4第二章、IPv6技术621移动性622内置的安全特性723服务质量724自动配置7第三章、VPN技术931VPN的基本要求932 VPN关键技术10321 Tunnel技术10322 有关协议的比较1133 VPN的安全协议12331 PPTPPoint to Point Tunnel Protocal(点对点隧道协议)12332 L2TPLayer2 Tunneling P

4、rotocol(第二层隧道协议)12333 IPSECInternet Portocol Security(因特网协议安全性)12334 SOCKs13前言当前基于IP协议的计算机网络用户数量剧增，网络流量每六个月翻一番，比计算机CPU速度每18个月提高一倍还要发展得快得多。为了使网络状况更加适应用户的需要，作为网络核心器件的路由器的不断升级换代也就成为大势所趋。下面就从路由器的基本概念和分类入手，对基于路由器的网络技术进行一个较为全面的介绍。第一章 路由器的基本的活动活动和对方电话fdf概念和分类1977年，国际标准化组织（ISO）制定了开放系统互连基本参考模型（OSI），OSI参考模型采用

5、分层结构技术，将整个网络的通信功能分为职责分明的七层，由高到低分别是：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。目前计算机网络通信中采用最为普遍的TCP/IP协议吸收了OSI标准中的概念及特征。TCP/IP模型由四个层次组成即：应用层、传输层、网络层、数据链路层+物理层。只有对等层才能相互通讯。一方在某层上的协议是什么，对方在同一层次上也必须采用同一协议。路由器就工作在TCP/IP模型的第三层（网络层），主要作用是为收到的报文寻找正确的路径，并把它们转发出去。11路由器的基本构成部分：（1）两个或两个以上的接口（用于连接不同的网络）。（2）协议至少实现到网络层（只有理解网络层

6、协议才能与网络层通讯）。（3）至少支持两种以上的子网协议（异种网）。（4）一组路由协议。12路由器的基本功能：（1）存储、转发、寻径功能。（2）路由功能。包括数据包的路径决策、负载平衡、多媒体传输（多播）等。（3）智能化网络服务。包括QoS、访问列表（防火墙）、验证、授权、计费、链路备份、调试、管理等。13路由器的分类按照路由器的接口、处理能力、吞吐量、提供的协议、功能等可以把路由器分成高、中、低多种档次。（1）高端路由器位于WAN骨干网的中心或骨干位置，构成IP网络的核心。（2）中端路由器适合于有分支机构的中小型企业，一般位于路由中心位置上，互连企业网的各个分支机构，并作为企业网的出口，上行

7、接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小型企业来说，中端路由器是其网络的中心。（3）低端路由器主要针对派出机构，接口少，处理能力要求不高等场合。（4）专用路由器：如VPN路由器、加密路由器、语音路由器，通过特殊的附加（软）硬件实现特定功能。第二章、IPv6技术IPv6是IP的一种新的版本，它同目前广泛使用的的IPv4相比，地址由32位扩充到128位。从理论上说，地址的数量由原先的4.3109个增加到4.31038个。经由IPv6，路由数可以减少一个数量级。在可预见的很长时期内，它能够为所有可以想象出的网络设备提供一个全球惟一的地址。128位地址空间包含的准确地址数是34

8、0，282，366，920，938，463，463，374，607，431，768，211，456个。这个数目足够为地球上每一粒沙子提供一个独立的IP地址。据了解，IPv6能为主机接口提供不同类型的地址配置，包括全球地址（Globally）、全球单播地址（unicast）、区域地址（on-site）、链路本地地址（link local address）、地区本地地址（site local address）、广播地址（Broadcast）、多播群地址（multicast group address）、任播地址（anycast address）、移动地址（Mobility）、家乡地址（home a

9、ddress）和转交地址（care-of address）等。IPv6还有如下4个特性：21移动性IPv6对移动数据业务的较强的支持能力是运营商非常看重的。移动IP需要为每个设备提供一个全球惟一的IP地址。IPv4没有足够的地址空间可以为在Internet上运行的每个移动终端分配一个这样的地址。而移动IPv6能够通过简单的扩展，满足大规模移动用户的需求。这样，它就能在全球范围内解决有关网络和访问技术之间的移动性问题。移动IPv6在新功能和新服务方面可提供更大的灵活性。每个移动设备设有一个固定的家乡地址（home address），这个地址与设备当前接入互联网的位置无关。当设备在家乡以外的地方使

10、用时，可以通过一个转交地址来提供移动节点当前的位置信息。移动设备每次改变位置，都要将它的转交地址告诉给家乡地址和它所对应的通信节点。在家乡以外的地方，移动设备传送数据包时，通常在IPv6报头中将转交地址作为源地址。移动节点在家乡以外的地方发送数据包时，使用一个家乡地址目标选项。目的是通过这个选项把移动节点的家乡地址告诉给包的接收者。由于在该数据包里包含家乡地址的选项，接收方通信节点在处理这个包时就可以用这个家乡地址替换包内的转交地址。因此,发送给移动节点的IPv6包就能够透明地选路到该节点的转交地址处。对通信节点和转交地址之间的路由进行优化会使网络的利用率更高。3GPP是移动网络的一个标准化组

11、织，IPv6已经被该组织所采纳，其发布的第五版文件中规定在IP多媒体核心网中将采用IPv6。这个核心网将处理所有3G网络中的多媒体数据包22内置的安全特性这一点相对于IPv4有了提高。IPv6协议内置安全机制，并已经标准化，可支持对企业网的无缝远程访问。即使终端用户用“实时在线”方式接入企业网，这种安全机制也是可行的;而这种“实时在线”的服务类型在IPv4技术中是无法实现的。对于从事移动性工作的人员来说，IPv6是IP级企业网存在的保证。在安全性方面，IPv6同IP安全性（IPSec）机制和服务一致。除了必须提供网络层这一强制性机制外，IPSec还提供两种服务。其中，认证报头（AH）用于保证数

12、据的一致性，而封装的安全负载报头（ESP）用于保证数据的保密性和数据的一致性。在IPv6包中，AH和ESP都是扩展报头，可以同时使用，也可以单独使用其中一个。此外，作为IPSec的一项重要应用，IPv6还集成了VPN的功能。23服务质量在这方面，IPv6较之IPv4有了很大的改善。服务质量（QoS）包含几个方面的内容。从协议的角度看， IPv6的优点体现在能提供不同水平的服务。这主要是由于IPv6报头中新增加了字段“业务级别”和“流标记”。有了它们，在传输过程中，中间的各节点就可以识别和分开处理任何IP地址流。尽管对这个流标记的准确应用还没有制定出有关标准，但将来它会用于基于服务级别的新计费系

13、统。另外，在其他方面，IPv6也有助于改进QoS。这主要表现在支持“实时在线”连接、防止服务中断以及提高网络性能方面。同时，更好的网络和QoS也会提高客户的期望值和满意度。24自动配置这是一种即插即用的机制。IPv6的另一个基本特性是它支持无状态和有状态两种地址的自动配置方式。无状态地址自动配置方式是获得地址的关键。在这种方式下，需要配置地址的节点使用一种邻居发现机制获得一个局部连接地址。一旦得到这个地址之后，它使用另一种即插即用的机制，在没有任何人工干预的情况下，获得一个全球惟一的路由地址。有状态配置机制如DHCP（动态主机配置协议）需要一个额外的服务器，因此也需要很多额外的操作和维护。IP

14、v6所以能使互联网连接许多东西变得简单而且使用容易是因为它使用了四种技术:地址空间的扩充、可使路由表减小的地址构造、自动设定地址以及提高安全保密性。IPv6在路由技术上继承了IPv4的有利方面，代表未来路由技术的发展方向。第三章、VPN技术VPN（VirtualPrivateNetwork）虚拟私有网络就是利用公共网络来构建的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN象企业现有的私有网络一样能够保证安全性、可靠性和可管理性等。“虚拟”的概念是相对传统私有网络的构建方式而言的。对于广域网连接，传统的组网方式是通过远程拨号连接来实现的，而

15、VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN，企业可以以更低的成本连接它们的远地办事机构、公司出差员工和业务合作伙伴,企业内部资源享用者只需连入本地ISP的POP（PointOfPresence，接入服务提供点）即可相互通信；而利用传统的WAN组建技术，彼此之间要有专线相连才可以达到同样的目的。虚拟网组成后，出差员工和外地客户只需拥有当地ISP的上网权限就可以访问企业内部资源；如果接入服务器的用户身份认证服务器支持漫游，甚至不必拥有本地ISP的上网权限。这对于流动性很大的出差员工和分布广泛的客户与合作伙伴来说是很有意义的。并且企业开设VPN服务所需的设备很少，只需在资

16、源共享处放置一台VPN服务器就可以了。31VPN的基本要求一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：（1）用户验证VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。（2）地址管理VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全

17、性。（3）数据加密对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。（4）密钥管理VPN方案必须能够生成并更新客户端和服务器的加密密钥。（5）多协议支持VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件（component）。32

18、 VPN关键技术321 Tunnel技术 通常，企业网采用保留IP建网。保留IP网络要使用合法IP网络（例如Internet），可以通过3种方式进行：（1）改用合法IP；（2）设置IP转换网关；（3）采用Tunnel技术。 其中，Tunnel技术具有相对简单、有效和易于管理的特性，更加适合VPN的要求。Tunnel技术的另一个优点是，既可以在ISP的节点完成，也可以在用户处完成，或者可以两者合作完成。而且，现有的许多网络接入交换设备、接入服务器和广域网路由器都支持相关的Tunnel技术标准。1安全技术 能否保证VPN的安全性，是VPN网络能否实现“Private”的关键。基于Internet的

19、VPN首先要考虑的就是安全问题。可以采用下列技术保证VPN的安全：（1）口令保护；（2）用户认证技术；（3）一次性口令；（4）用户权限设置；（5）在传输中采用加密技术。采用防火墙，把用户网络中的对外服务部分和对内服务部分隔离开。 2可用性由于VPN是建立在Internet的基础上的，所以可以采用下列技术保证VPN的up-time和吞吐量等可用性指标： （1）采用相应的高速广域网设备和数据压缩技术。（2）采用路由备份和冗余设计。3用户管理/认证和计费通过NAS和CPE设备提供的LOG文件，包括用户名、流量、连接时间等数据进行计费。322 有关协议的比较 1Tunnel技术趋势主要的协议和技术趋势

20、有3种：（1）PPTP：微软和ASCEND在PPP基础上联合开发了PPTP（点对点Tunnel协议，适用于WindowsNT和Netware的client/server环境。（2）ATMP：ASCEND开发的ATMP（ASCENDTunnel管理协议），融合了PPTP和GRE，适用于IP、IPX、NetBIOS和NetBEUI环境的数据流。（3）L2F：CISCO开发的Layer-2ForwardingTunnel协议。在其基础上，进一步提出了L2TP（Layer-2TunnelingProtocol），综合了L2F和PPTP的优点，即将成为一项工业标准。另外，还有DLSw：IBM的DataL

21、inkSwitching技术，支持SNA到IP的加密，已经成为工业标准。2三种主要协议的比较（1）ATMP与PPTPATMP和PPTP都是基于GRE的协议，区别在于：ATMP不需要Windows/NT服务器，内部代理可以是路由器或者网关。PPTP需要远端用户运行WindowNT、Window95或PPPclient软件。内部代理必须是WindowsNTserver。PPTP支持NetBios，ATMP支持IP/IPX。PPTP先把PPP数据包加密，然后放在tunnel中传输；ATMP只加密认证信息，其他数据明码传输。（2）ATMP与L2FL2F协议在某些方面与ATMP很相似。最主要的区别在于封

22、装方式不同。L2F不是基于GRE(RFC1701)的，而是基于PPP的。使用L2F，远端用户必须运行PPP。而且，用户端的网关和NAS设备也必须运行L2F。L2F的优点是不仅支持IP/IPX，还支持Appletalk等协议。但是，L2F要求每个用户端局域网有专用的网关，费用较高。（3）PPTP与L2FPPTP与L2F的区别有下述几个方面：L2F不是基于GRE(RFC1701)的，而是基于PPP的。使用L2F，远端用户必须运行PPP。而且，用户端的网关和NAS设备也必须运行L2F。与PPTP相比，L2F不仅支持IP/IPX，还支持Appletalk等协议；而且每个用户局域网的前端不需要Windo

23、wsNTserver。但是，L2F不是真正的端到端技术。PPTP虽然需要WindowsNTserver，但是GREtunnel以PPPframe形式运行。PPTPtunnel对GRE作了增强，增加了流控机制，所以，PPTPtunnel容易管理。PPTP不使用tunnelIdentifier，开销较小。L2F要求每个用户端局域网有专用的网关，费用较高。L2F不支持流控，由封装的协议自行管理数据，需要数据重传功能。PPTP假定的底层媒体是IP，L2F没有假定。L2F本身支持的用户验证方式较多，PPTP支持的较少。L2F不支持Callback和ISDN/Modempooling，PPTP支持。33

24、VPN的安全协议331 PPTPPoint to Point Tunnel Protocal(点对点隧道协议)这是一个最流行的Internet协议，它提供PPTP客户机 与PPTP服务器之间的加密通信，它允许公司使用专用的“ 隧道”，通过公共Internet来扩展公司的网络。通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。这就是说，通过PPTP的封装或“隧道”服务，使非IP网络可以获得进行Internet通信的优点。但是PPTP会话不可通过代理器进行，PPTP是Microsoft和其它厂家支持的标准，它是PP

25、TP协议的扩展，它可以通过Internet建立多协议VPN。332 L2TPLayer2 Tunneling Protocol(第二层隧道协议)除Microsft外，另有一些厂家也做了许多开发工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一个隧道协议。Microsoft、Cisco和其它一些网络厂商正一起努力使L2F与PPTP融合，产生一个新的L2TP协议。PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP正在由包括Microsoft在内的几家厂商开发。L2T

26、P还支持信道认证，但它没有规定信道保护的方法。333 IPSECInternet Portocol Security(因特网协议安全性)该协议正在IETF（因特网工程任务组）的指导下开发。开发这个协议的目的是要解决当前协议中存在的一些缺点，这个标准开发完成最快也要在一年以后。Microsoft承诺支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作组定义的协议集，它用于确保网络层之间的安全通信。该协议草案建议使用IPSEC协议集保护IP网和非IP网上的L2TP业务，以及如何将IPSEC和L2FP一起使用，但它并未试图将端对端的安全性标准化。334 SOCKsSOCKs是一个网络连接的

27、代理协议，它使SOCKs一端的主机完全访问SOCKs；而另一端的主机不要求IP直接可达。SOCKs能将连接请求进行鉴别和授权，并建立代理连接和传送数据。SOCKs通常用作网络防火墙，它使SOCKs后面的主机能通过Internet取得完全的访问权，而避免了通过Internet对内部主机进行未授权访问。目前，有SOCKsV4和SOCKsV5二个版本，SOCKsV5可以处理UDP，而SOCKsV4则不能。34 VPN技术比较VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，CPE-based VPN主要包含两种技术：隧道技术与安全技术。 341 隧道技术 隧道技术的

28、基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。 要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议有4种：点到点隧道协议PPTP、第二层隧道协议L2TP、网络层隧道协议IPSec以及SOCKS v5，它们在OSI 七层模型中的位置如表所示。各协议工作在不同层次，无所谓谁更有优势。但我们应该注意，不同的网络环境适合不同的协议，在选择VPN产品时，应该注意选择。 （1）

29、点到点隧道协议PPTP PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中。目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。（2）第二层隧道协议L2TP L2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。（3）IPSec协议 IPSec协议是一个范围广泛、开放的VPN安全协议，工作在OSI模型中的第三层网络层。它提供

30、所有在网络层上的数据保护和透明的安全通信。IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中。传输模式是为了保护端到端的安全性，不会隐藏路由信息。1999年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上了ISAKMP协议，其中还包括密钥分配协议IKE和Oakley。 一种趋势是将L2TP和IPSec结合起来: 用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN采用这类技术。表 1种隧道协议在OSI七层模型中的位置 优点：它定义了一套用于保护私有性和完整性的标准协议，

31、可确保运行在TCP/IP协议上的VPN之间的互操作性。缺点：除了包过滤外，它没有指定其他访问控制方法，对于采用NAT方式访问公共网络的情况难以处理。适用场合：最适合可信LAN到LAN之间的VPN。（4）SOCKS v5协议SOCKS v5工作在OSI模型中的第五层会话层，可作为建立高度安全的VPN的基础。SOCKS v5协议的优势在访问控制，因此适用于安全性较高的VPN。 SOCKS v5现在被IETF建议作为建立VPN的标准。优点：非常详细的访问控制。在网络层只能根据源目的的IP地址允许或拒绝被通过，在会话层控制手段更多一些；由于工作在会话层，能同低层协议如IPV4、IPSec、PPTP、L

32、2TP一起使用；用SOCKS v5的代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet和Actives控制。缺点：其性能比低层次协议差，必须制定更复杂的安全管理策略。适用场合：最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。342 安全技术VPN 是在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证及密钥交换与管理组成。（1）认证技术 认证技术防止数据的伪造和被篡改，它采用一种称为

33、“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。（2）加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES 、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。（3）密钥交换和管理VPN

34、 中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN 的安全性。目前主要的密钥交换与管理标准有IKE （互联网密钥交换）、SKIP （互联网简单密钥管理）和Oakley。（胡英）（4）VPN组网方式VPN在企业中的组网方式分以下3种。在各种组网方式下采用的隧道协议有所不同，要仔细选择。 Access VPN （远程访问VPN）：客户端到网关远程用户拨号接入到本地的ISP，它适用于流动人员远

35、程办公，可大大降低电话费。SOCKS v5协议适合这类连接。 Intranet VPN （企业内部VPN）：网关到网关它适用于公司两个异地机构的局域网互连，在Internet 上组建世界范围内的企业网。利用Internet 的线路保证网络的互联性，而利用隧道、加密等VPN 特性可以保证信息在整个Intranet VPN 上安全传输。IPSec隧道协议可满足所有网关到网关的VPN连接，因此，在这类组网方式中用得最多。Extranet VPN （扩展的企业内部VPN）：与合作伙伴企业网构成Extranet由于不同公司的网络相互通信，所以要更多考虑设备的互连、地址的协调、安全策略的协商等问题。它也属

36、于网关到网关的连接，选择IPSec协议是明智之举。第四章、QoS（QualityofService）QoS是两网合一和VPN等应用推广的前提。在融合的推动下数据网上承载的业务越来越广泛，话音、电子商务、远程教育等。传统的数据网对业务是不区分的，当网上数据流量比较大时话音质量将急剧下降，某些重要的公司业务流也将受到影响。QoS就是要区别对待这些业务，提高网络的服务质量。QoS包含的流分类是将接入的用户数据按业务进行分类，赋予不同的优先级；流量整形是指对特定的业务流进行带宽限制，使之符合QoS协定；流量工程则是从全网管理的高度保障QoS。41 QoS分类 分类是指具有QoS的网络能够识别哪种应用产

37、生哪种数据包。没有分类，网络就不能确定对特殊数据包要进行的处理。所有应用都会在数据包上留下可以用来识别源应用的标识。分类就是检查这些标识，识别数据包是由哪个应用产生的。以下是4种常见的分类方法。 (1)协议 有些协议非常“健谈”，只要它们存在就会导致业务延迟，因此根据协议对数据包进行识别和优先级处理可以降低延迟。应用可以通过它们的EtherType进行识别。譬如，AppleTalk协议采用0x809B，IPX使用0x8137。根据协议进行优先级处理是控制或阻止少数较老设备所使用的“健谈”协议的一种强有力方法。 (2)TCP和UDP端口号码 许多应用都采用一些TCP或UDP端口进行通信，如 HT

38、TP采用TCP端口80。通过检查IP数据包的端口号码，智能网络可以确定数据包是由哪类应用产生的，这种方法也称为第四层交换，因为TCP和UDP都位于OSI模型的第四层。 (3)源IP地址 许多应用都是通过其源IP地址进行识别的。由于服务器有时是专门针对单一应用而配置的，如电子邮件服务器，所以分析数据包的源IP地址可以识别该数据包是由什么应用产生的。当识别交换机与应用服务器不直接相连，而且许多不同服务器的数据流都到达该交换机时，这种方法就非常有用。 (4)物理端口号码 与源IP地址类似，物理端口号码可以指示哪个服务器正在发送数据。这种方法取决于交换机物理端口和应用服务器的映射关系。虽然这是最简单的

39、分类形式，但是它依赖于直接与该交换机连接的服务器。 42 QoS标注 在识别数据包之后，要对它进行标注，这样其他网络设备才能方便地识别这种数据。由于分类可能非常复杂，因此最好只进行一次。识别应用之后就必须对其数据包进行标记处理，以便确保网络上的交换机或路由器可以对该应用进行优先级处理。通过采纳标注数据的两种行业标准，即IEEE 802.1p或差异化服务编码点(DSCP)，就可以确保多厂商网络设备能够对该业务进行优先级处理。 在选择交换机或路由器等产品时，一定要确保它可以识别两种标记方案。虽然DSCP可以替换在局域网环境下主导的标注方案IEEE 802.1p，但是与IEEE 802.1p相比，实

40、施DSCP有一定的局限性。在一定时期内，与IEEE 802.1p 设备的兼容性将十分重要。作为一种过渡机制，应选择可以从一种方案向另一种方案转换的交换机。 43 QoS优先级设置 一旦网络可以区分电话通话和网上浏览，优先级处理就可以确保进行Internet上大型下载的同时不中断电话通话。为了确保准确的优先级处理，所有业务量都必须在网络骨干内进行识别。在工作站终端进行的数据优先级处理可能会因人为的差错或恶意的破坏而出现问题。黑客可以有意地将普通数据标注为高优先级，窃取重要商业应用的带宽，导致商业应用的失效。这种情况称为拒绝服务攻击。通过分析进入网络的所有业务量，可以检查安全攻击，并且在它们导致任

41、何危害之前及时阻止。 在局域网交换机中，多种业务队列允许数据包优先级存在。较高优先级的业务可以在不受较低优先级业务的影响下通过交换机，减少对诸如话音或视频等对时间敏感业务的延迟事故。 为了提供优先级，交换机的每个端口必须有至少2个队列。虽然每个端口有更多队列可以提供更为精细的优先级选择，但是在局域网环境中，每个端口需要4个以上队列的可能性不大。当每个数据包到达交换机时，都要根据其优先级别分配到适当的队列，然后该交换机再从每个队列转发数据包。该交换机通过其排队机制确定下一步要服务的队列。有以下2种排队方式。(1)严格优先队列(SPQ) 这是一种最简单的排队方式，它首先为最高优先级的队列进行服务，

42、直到该队列为空，然后为下一个次高优先级队列服务，依此类推。这种方法的优势是高优先级业务总是在低优先级业务之前处理。但是，低优先级业务有可能被高优先级业务完全阻塞。 (2)加权循环(WRR) 这种方法为所有业务队列服务，并且将优先权分配给较高优先级队列。在大多数情况下，相对低优先级，WRR将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。第五章、MPLS多协议标记交换51 MPLS基本概念及标签交换路由器 MPLS即多协议标签交换技术，是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术，它的价值在于能够在无连接的网络中引入连接模式。MPLS采用传统的IP路

43、由，但将路由与分组转发分离开来，这使得在MPLS网中可以通过修正转发方法来推动路由技术的演进。而且，网络中分组的转发基于定长标签，简化了转发机制，使得路由器容量很容易扩展到太比特级。实际上当前推出的几乎所有高速路由器都支持MPLS。MPLS还是一种与链路层无关的技术，它同时支持FR、ATM、PPP、SDH、DWDM等，保证了多种网络的互联互通，可以将各种不同的网络传输技术统一在同一个MPLS平台上，最大限度地兼顾原有的各种技术，保护现有投资和网络资源。而MPLS能够灵活地支持流量工程、CoS、QoS和VPN的能力则是MPLS实用中最据吸引力的亮点。511 MPLS标签交换过程 图1所示为分组在

44、MPLS网络中的转发过程，主要经过以下3个步骤： (1)入口LSR在FIB（Forwarding Information Base）表中按照传统的最长匹配算法对FEC进行查找，找到要压入的标签5和相应的出接口，然后压入标签发送分组到相应的端口； (2)核心LSR根据标签栈顶层的标签5查找ILM（Incoming Label Map）表，找到要进行的操作为标签的交换，交换使用的标签为9，执行标签交换，然后发送分组到相应的接口； (3)出口LSR根据ILM查找的结果进行标签的弹栈（POP），然后再按照第三层IP地址进行转发。在拓扑驱动的模式中，FIB和ILM是在路由协议（BPG、OSPF或RIP）

45、建立路由表的同时建立起来的。512 MPLS路由器的结构MPLS路由器采用高速交换、分布式转发和集中式管理相结合。当前路由器设计采用的主流结构由接口卡、交换结构和CPU卡组成。CPU卡的主要功能是运行路由协议（BGP、OSPF或RIP）和MPLS信令（LDP/CR-LDP），负责各接口卡上的路由表、FIB表以及ILM表的更新以及同步，同时它还完成接纳控制、资源管理以及某些设备管理功能。接口卡完成物理层处理、MAC层处理、IP层处理，主要包括MPLS分类、业务分类以及排队和调度功能。图2给出的是MPLS交换路由器的概念模型，由以下主要组件组成：CR-LDP/LDP、MPLS分类器、业务分类器、地

46、址分类器、接纳控制、资源管理和队列管理器等。各模块主要功能如下：LDP/CR-LD：产生和处理LDP/CR-LDP消息；MPLS分类器：为进入的分组分类，并为相应的分组执行标签的操作，如压栈、弹栈和标签交换；业务分类器：根据标签、入接口以及MPLS头中的CoS对分组进行业务分类，并把分组与相应的队列关联起来； 接纳控制：检查CR-LDP中携带的流量参数，并判断该路由器是否有足够的资源来满足所需的QoS要求； 资源管理：管理资源信息以及队列的参数，主要包括带宽和缓存等；队列管理器：管理队列中的分组，完成分组的调度，使其获得相应的服务。 52 标签交换路由器的设计521 MPLS标签交换以及流量处

47、理MPLS标签交换以及流量处理主要在接口卡上完成，本节介绍接口卡详细功能,我们在此不讨论物理层和MAC层的处理。如图3所示，当MPLS路由器接收到一个分组后，它执行如下的操作：（1）MPLS分类器首先判断接收到的分组是带标签的还是不带标签的。如果携带了标签，MPLS分类器就通过查询ILM表得到相应的标签，然后对分组执行标签交换。如果未携带标签，则查询FIB表，若其对应的LSP存在，就与携带标签一样处理。否则，分组被发送到地址分类器。（2）地址分类器根据路由表对分组执行第三层转发。 （3）如果分组的下一跳就是自己，分组就被送到端口分类器中，然后根据端口号送往相应的上层应用处理程序，如LDP/CR-LDP、OSPF、BGP等。否则，就根据查询的结果进入队列管理器进行排队，等候服务。（4）当业务分类器接收到来自MPLS分类器的分组后，查找ERB表得到相应的ServiceID，ServiceID指示了分组应该被怎么排队。然后根据ServiceID以及输出接口信息，分组被发送到相应的队列中，并得到相应QoS的服务。来自地址分类器的分组就直接发送到相应输出接口的最低优先级队列进行排队。 从以上分组转发的过程我们看到，分组处理时需要以下4个表：（1）FIB表只有在入口LSR上保存该表，它记录了FEC到标