多業務路由器

多業務路由器也和路由器一樣具有路由基本功能，路由器是網際網路中必不可少的網路設備之一，路由器是一種連線多個網路或網段的網路設備，它能將不同網路或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，從而構成一個更大的網路。

多業務路由器和一般路由器存在區別，路由器有兩大典型功能，即數據通道功能和控制功能，多業務路由器又在網路安全、流量控制、VPN組網等方面進行了加強。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等，一般由特定的硬體來完成；控制功能一般用軟體來實現，包括與相鄰路由器之間的信息交換、系統配置、系統管理等。 所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router。

多業務路由器是一種多類型、多連線埠的路由器設備，它可以連線不同傳輸速率並運行於各種環境的區域網路和廣域網，也可以採用不同的協定。路由器屬於O S I 模型的第三層--網路層。指導從一個網段到另一個網段的數據傳輸，也能指導從一種網路向另一種網路的數據傳輸。多業務路由器增加了部分OSI模型的部分四層以及四層以上功能，具備一定的業務感知和處理能力，能夠提供安全和加密等方面的功能。

第一，網路互連：路由器支持各種區域網路和廣域網接口，主要用於互連區域網路和廣域網，實現不同網路互相通信；

第二，數據處理：提供包括分組過濾、分組轉發、優先權、復用、加密、壓縮和防火牆等功能；

第三，網路管理：路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。

所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router,是一種連線多個網路或網段的網路設備，它能將不同網路或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀懂”對方的數據，從而構成一個更大的網路。 為了完成“路由”的工作，在路由器中保存著各種傳輸路徑的相關數據－－路由表（Routing Table），供路由選擇時使用。路由表中保存著子網的標誌信息、網上路由器的個數和下一個路由器的名字等內容。路由表可以是由系統管理員固定設定好的，也可以由系統動態修改，可以由路由器自動調整，也可以由主機控制。在路由器中涉及到兩個有關地址的名字概念，那就是：靜態路由表和動態路由表。由系統管理員事先設定好固定的路由表稱之為靜態（static）路由表，一般是在系統安裝時就根據網路的配置情況預先設定的，它不會隨未來網路結構的改變而改變。動態（Dynamic）路由表是路由器根據網路系統的運行情況而自動調整的路由表。路由器根據路由選擇協定（Routing Protocol）提供的功能，自動學習和記憶網路運行情況，在需要時自動計算數據傳輸的最佳路徑。

按性能檔次分為高、中、低檔路由器。 通常將路由器吞吐量大於40Gbps的路由器稱為高檔路由器，背吞吐量在25Gbps~40Gbps之間的路由器稱為中檔路由器，而將低於25Gbps的看作低檔路由器。當然這只是一種巨觀上的劃分標準，各廠家劃分並不完全一致，實際上路由器檔次的劃分不僅是以吞吐量為依據的，是有一個綜合指標的。以市場占有率最大的Cisco公司為例，12000系列為高端路由器，7500以下系列路由器為中低端路由器。

從結構上分為“模組化路由器”和“非模組化路由器”。

模組化結構可以靈活地配置路由器，以適應企業不斷增加的業務需求，非模組化的就只能提供固定的連線埠。通常中高端路由器為模組化結構，低端路由器為非模組化結構。

從功能上劃分，可將路由器分為“骨幹級路由器”，“企業級路由器”和“接入級路由器”。

骨幹級路由器是實現企業級網路互連的關鍵設備，它數據吞吐量較大，非常重要。對骨幹級路由器的基本性能要求是高速度和高可靠性。為了獲得高可靠性，網路系統普遍採用諸如熱備份、雙電源、雙數據通路等傳統冗餘技術，從而使得骨幹路由器的可靠性一般不成問題。

企業級路由器連線許多終端系統，連線對象較多，但系統相對簡單，且數據流量較小，對這類路由器的要求是以儘量便宜的方法實現儘可能多的端點互連，同時還要求能夠支持不同的服務質量。

接入級路由器主要套用於連線家庭或ISP內的小型企業客戶群體。

按所處網路位置劃分通常把路由器劃分為“邊界路由器”和“中間節點路由器”。

很明顯"邊界路由器"是處於網路邊緣，用於不同網路路由器的連線；而"中間節點路由器"則處於網路的中間，通常用於連線不同網路，起到一個數據轉發的橋樑作用。由於各自所處的網路位置有所不同，其主要性能也就有相應的側重，如中間節點路由器因為要面對各種各樣的網路。如何識別這些網路中的各節點呢？靠的就是這些中間節點路由器的MAC地址記憶功能。基於上述原因，選擇中間節點路由器時就需要在MAC地址記憶功能更加注重，也就是要求選擇快取更大，MAC地址記憶能力較強的路由器。但是邊界路由器由於它可能要同時接受來自許多不同網路路由器發來的數據，所以這就要求這種邊界路由器的背板頻寬要足夠寬，當然這也要與邊界路由器所處的網路環境而定。

從性能上可分為“線速路由器”以及“非線速路由器”。

所謂"線速路由器"就是完全可以按傳輸介質頻寬進行通暢傳輸，基本上沒有間斷和延時。通常線速路由器是高端路由器，具有非常高的連線埠頻寬和數據轉發能力，能以媒體速率轉發數據包；中低端路由器是非線速路由器。但是一些新的寬頻接入路由器也有線速轉發能力。

與計算機一樣，路由器也包含了一個中央處理器,也就是所說的CPU。不同系列和型號的路由器，其中的CPU也不盡相同。Cisco路由器一般採用Motorola 68030和Orion/R4600兩種處理器。

無論在中低端路由器還是在高端路由器中，CPU都是路由器的心臟。通常在中低端路由器當中，CPU負責交換路由信息、路由表查找以及轉發數據包。在路由器中，CPU的能力直接影響路由器的吞吐量（路由表查找時間）和路由計算能力（影響網路路由收斂時間）。在高端路由器中，通常包轉發和查表由ASIC晶片完成，CPU只實現路由協定、計算路由以及分發路由表。由於技術的發展，路由器中許多工作都可以由硬體實現（專用晶片）。CPU性能並不完全反映路由器性能。路由器性能由路由器吞吐量、時延和路由計算能力等指標體現。

路由器中可能有多種記憶體，例如Flash（快閃記憶體）、DRAM（動態記憶體）等。記憶體用作存儲配置、路由器作業系統、路由協定軟體等內容。在中低端路由器中，路由表可能存儲在記憶體中。通常來說路由器記憶體越大越好（不考慮價格）。但是與CPU能力類似，記憶體同樣不直接反映路由器性能與能力。因為高效的算法與優秀的軟體可能大大節約記憶體。

路由器採用了以下幾種不同類型的記憶體，每種記憶體以不同方式協助路由器工作。

*唯讀記憶體(ROM)

*快閃記憶體(FLASH)

*隨機存取記憶體(RAM)

*非易失性RAM(NVRAM)

1.唯讀記憶體（ROM） 唯讀記憶體（ROM）在Cisco路由器中的功能與計算機中的ROM相似，主要用於系統初始化等功能。ROM中主要包含：

（1）系統加電自檢代碼（POST），用於檢測路由器中各硬體部分是否完好；

（2）系統引導區代碼（BootStrap），用於啟動路由器並載入IOS作業系統；

（3）備份的IOS作業系統，以便在原有IOS作業系統被刪除或破壞時使用。通常，這個IOS比現運行IOS的版本低一些，但卻足以使路由器啟動和工作。

顧名思義，ROM是唯讀存儲器，不能修改其中存放的代碼。如要進行升級，則要替換ROM晶片。

2.快閃記憶體（Flash）

快閃記憶體（Flash）是可讀可寫的存儲器，在系統重新啟動或關機之後仍能保存數據。Flash中存放著當前使用中的IOS。事實上，如果Flash容量足夠大，甚至可以存放多個作業系統，這在進行IOS升級時十分有用。當不知道新版IOS是否穩定時，可在升級後仍保留舊版IOS，當出現問題時可迅速退回到舊版作業系統，從而避免長時間的網路故障。

3.非易失性RAM(NVRAM)

非易失性RAM(Nonvolatile RAM)是可讀可寫的存儲器，在系統重新啟動或關機之後仍能保存數據。由於NVRAM僅用於保存啟動配置檔案（Startup-Config），故其容量較小，通常在路由器上只配置32KB~128KB大小的NVRAM。同時，NVRAM的速度較快，成本也比較高。

4.隨機存儲器(RAM)

RAM也是可讀可寫的存儲器，但它存儲的內容在系統重啟或關機後將被清除。和計算機中的RAM一樣，Cisco路由器中的RAM也是運行期間暫時存放作業系統和數據的存儲器，讓路由器能迅速訪問這些信息。RAM的存取速度優於前面所提到的3種記憶體的存取速度。

運行期間，RAM中包含路由表項目、ARP緩衝項目、日誌項目和佇列中排隊

代碼、IOS作業系統程式和一些臨時數據信息。

路由器的類型不同，IOS代碼的讀取方式也不同。如Cisco 2500系列路由器只在需要時才從Flash中讀入部分IOS；而Cisco 4000系列路由器整個IOS必須先全部裝入RAM才能運行。因此，前者稱為Flash運行設備（Run from Flash），後者稱為RAM運行設備（Run from RAM）。

包轉發率，也稱連線埠吞吐量，是指路由器在某連線埠進行的數據包轉發能力，單位通常使用pps（包每秒）來衡量。一般來講，低端的路由器包轉發率只有幾K到幾十Kpps，而高端路由器則能達到幾十Mpps（百萬包每秒）甚至上百Mpps。如果小型辦公使用，則選購轉發速率較低的低端路由器即可，如果是大中型企業部門套用，就要嚴格這個指標，建議性能越高越好。

我們知道，路由器不僅能實現區域網路之間連線，更重要的套用還是在於區域網路與廣域網、廣域網與廣域網之間的相互連線。路由器與廣域網連線的接口稱之為廣域網接口（WAN接口）。路由器中常見的廣域網接口有以下幾種。

（1）RJ-45連線埠

（2）AUI連線埠

（3）高速同步串口

（4）異步串口

（5）ISDN BRI連線埠

（1）RJ-45連線埠 RJ-45連線埠是我們最常見的連線埠了，它是我們常見的雙絞線乙太網連線埠，因為在快速乙太網中也主要採用雙絞線作為傳輸介質，所以根據連線埠的通信速率不同RJ-45連線埠又可分為10Base-T網RJ-45連線埠和100Base-TX網RJ-45連線埠兩類。其中10Base-T網的RJ-45 連線埠在路由器中通常是標識為“ETH”，而100Base-TX 網的RJ-45連線埠則通常標識為“10/100bTX”，這主要是現在快速乙太網路由器產品多數還是採用10/100Mbps頻寬自適應的。如圖左圖所示為10Base-T 網RJ-45連線埠，而右圖所示的為10/100Base-TX網RJ-45連線埠。其實這兩種RJ-45連線埠僅就連線埠本身而言是完全一樣的，但連線埠中對應的網路電路結構是不同的，所以也不能隨便接。

RJ-45 連線埠

（2）AUI連線埠

AUI連線埠是用來與粗同軸電纜連線的接口，它是一種"D"型15針接口，這在令牌環網或匯流排型網路中是一種比較常見的連線埠之一。路由器可通過粗同軸電纜收發器實現與10Base-5網路的連線，但更多的是藉助於外接的收發轉發器（AUI-to-RJ-45），實現與10Base-T乙太網絡的連線。當然也可藉助於其他類型的收發轉發器實現與細同軸電纜（10Base-2）或光纜（10Base-F）的連線。這裡所講的路由器AUI接口主要是用粗同軸電纜作為傳輸介質的網路進行連線用的，AUI接口示意圖如圖所示。

AUI連線埠

（3）高速同步串口

在路由器的廣域網連線中，套用最多的連線埠還要算"高速同步串口"（SERIAL）了，這種連線埠主要是用於連線目前套用非常廣泛的DDN、幀中繼（Frame Relay）、X.25、PSTN（模擬電話線路）等網路連線模式。在企業網之間有時也通過DDN或X.25等廣域網連線技術進行專線連線。這種同步連線埠一般要求速率非常高，因為一般來說通過這種連線埠所連線的網路的兩端都要求實時同步。

（4）異步串口

異步串口（ASYNC）主要是套用於Modem或Modem池的連線，用於實現遠程計算機通過公用電話網撥入網路。這種異步連線埠相對於上面介紹的同步連線埠來說在速率上要求寬鬆許多，因為它並不要求網路的兩端保持實時同步，只要求能連續即可。所以我們在上網時所看到的並不一定就是網站上實時的內容，但這並不重要，因為畢竟這種延時是非常小的，重要的是在瀏覽網頁時能夠保持網頁正常的下載。

（5）ISDN BRI連線埠

ISDN BRI連線埠用於ISDN線路通過路由器實現與Internet或其他遠程網路的連線，用於目前的大多數雙絞線銅線電話線。ISDN BRI的三個通道總頻寬為144 kbps。其中兩個通道稱為B（荷載Bearer）通道，速率為64 kbps，用於承載聲音、影像和數據通信。第三個通道是D（數據）通道，是16 kbps信號通道，用於告訴公用交換電話網如何處理每個B通道。ISDN有兩種速率連線連線埠，一種是ISDN BRI（基本速率接口），另一種是ISDN PRI（基群速率接口），基於T1（23B+D）或者E1（30B+D），總速率分別為1.544Mbps或2.048Mbps。ISDN BRI連線埠是採用RJ-45標準，與ISDN NT1的連線使用RJ-45-to-RJ-45直通線。如圖所示為ISDN BRI連線埠。

ISDN BRI連線埠

路由協定作為TCP/IP協定族中重要成員之一，其選路過程實現的好壞會影響整個Internet網路的效率。按套用範圍的不同，路由協定可分為兩類：在一個AS（Autonomous System，自治系統，指一個互連網路，就是把整個Internet劃分為許多較小的網路單位，這些小的網路有權自主地決定在本系統中應採用何種路由選擇協定）內的路由協定稱為內部網關協定（interior gateway protocol），AS之間的路由協定稱為外部網關協定（exterior gateway protocol）。這裡網關是路由器的舊稱。現在正在使用的內部網關路由協定有以下幾種：RIP-1，RIP-2，IGRP，EIGRP，IS-IS和OSPF。其中前4種路由協定採用的是距離向量算法，IS-IS和OSPF採用的是鏈路狀態算法。對於小型網路，採用基於距離向量算法的路由協定易於配置和管理，且套用較為廣泛，但在面對大型網路時，不但其固有的環路問題變得更難解決，所占用的頻寬也迅速增長，以至於網路無法承受。因此對於大型網路，採用鏈路狀態算法的IS-IS和OSPF較為有效，並且得到了廣泛的套用。IS-IS與OSPF在質量和性能上的差別並不大，但OSPF更適用於IP，較IS-IS更具有活力。IETF始終在致力於OSPF的改進工作，其修改節奏要比IS-IS快得多。這使得OSPF正在成為套用廣泛的一種路由協定。現在，不論是傳統的路由器設計，還是即將成為標準的MPLS（多協定標記交換），均將OSPF視為必不可少的路由協定。

外部網關協定最初採用的是EGP。EGP是為一個簡單的樹形拓撲結構設計的，隨著越來越多的用戶和網路加入Internet，給EGP帶來了很多的局限性。為了擺脫EGP的局限性，IETF邊界網關協定工作組制定了標準的邊界網關協定--BGP。

RIP協定

OSPF協定

BGP協定

IGRP協定

EIGRP協定

ES-IS和IS-IS協定

1、RIP協定

RIP是路由信息協定（Routing Information Protocol）的縮寫，採用距離向量算法，是當今套用最為廣泛的內部網關協定。在默認情況下，RIP使用一種非常簡單的度量制度：距離就是通往目的站點所需經過的鏈路數，取值為1~15，數值16表示無窮大。RIP進程使用UDP的520連線埠來傳送和接收RIP分組。RIP分組每隔30s以廣播的形式傳送一次，為了防止出現“廣播風暴”，其後續的的分組將做隨機延時後傳送。在RIP中，如果一個路由在180s內未被刷，則相應的距離就被設定成無窮大，並從路由表中刪除該表項。RIP分組分為兩種：請求分組和相應分組。

RIP-1被提出較早，其中有許多缺陷。為了改善RIP-1的不足，在RFC1388中提出了改進的RIP-2，並在RFC 1723和RFC 2453中進行了修訂。RIP-2定義了一套有效的改進方案，新的RIP-2支持子網路由選擇，支持CIDR，支持組播，並提供了驗證機制。

隨著OSPF和IS-IS的出現，許多人認為RIP已經過時了。但事實上RIP也有它自己的優點。對於小型網路，RIP就所占頻寬而言開銷小，易於配置、管理和實現，並且RIP還在大量使用中。但RIP也有明顯的不足，即當有多個網路時會出現環路問題。為了解決環路問題，IETF提出了分割範圍方法，即路由器不可以通過它得知路由的接口去宣告路由。分割範圍解決了兩個路由器之間的路由環路問題，但不能防止3個或多個路由器形成路由環路。觸發更新是解決環路問題的另一方法，它要求路由器在鏈路發生變化時立即傳輸它的路由表。這加速了網路的聚合，但容易產生廣播泛濫。總之，環路問題的解決需要消耗一定的時間和頻寬。若採用RIP協定，其網路內部所經過的鏈路數不能超過15，這使得RIP協定不適於大型網路。 2、OSPF協定

為了解決RIP協定的缺陷，1988年RFC成立了OSPF工作組，開始著手於OSPF的研究與制定，並於1998年4月在RFC 2328中OSPF協定第二版（OSPFv2）以標準形式出現。OSPF全稱為開放式最短路徑優先協定（Open Shortest-Path First），OSPF中的O意味著OSPF標準是對公共開放的，而不是封閉的專有路由方案。OSPF採用鏈路狀態協定算法，每個路由器維護一個相同的鏈路狀態資料庫，保存整個AS的拓撲結構（AS不劃分情況下）。一旦每個路由器有了完整的鏈路狀態資料庫，該路由器就可以自己為根，構造最短路徑樹，然後再根據最短路徑構造路由表。對於大型的網路，為了進一步減少路由協定通信流量，利於管理和計算，OSPF將整個AS劃分為若干個區域，區域內的路由器維護一個相同的鏈路狀態資料庫，保存該區域的拓撲結構。OSPF路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態。OSPF定義了5種分組：Hello分組用於建立和維護連線；資料庫描述分組初始化路由器的網路拓撲資料庫；當發現資料庫中的某部分信息已經過時後，路由器傳送鏈路狀態請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態更新分組來主動擴散自己的鏈路狀態資料庫或對鏈路狀態請求分組進行回響；由於OSPF直接運行在IP層，協定本身要提供確認機制，鏈路狀態應答分組是對鏈路狀態更新分組進行確認。

相對於其它協定，OSPF有許多優點。OSPF支持各種不同鑑別機制（如簡單口令驗證，MD5加密驗證等），並且允許各個系統或區域採用互不相同的鑑別機制；提供負載均衡功能，如果計算出到某個目的站有若干條費用相同的路由，OSPF路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組傳送出去；在一個自治系統內可劃分出若干個區域，每個區域根據自己的拓撲結構計算最短路徑，這減少了OSPF路由實現的工作量；OSPF屬動態的自適應協定，對於網路的拓撲結構變化可以迅速地做出反應，進行相應調整，提供短的收斂期，使路由表儘快穩定化，並且與其它路由協定相比，OSPF在對網路拓撲變化的處理過程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類型域間路由）地址。

OSPF的不足之處就是協定本身龐大複雜，實現起來較RIP困難。

3、BGP協定

RFC1771對BGP的最新版本BGP-4進行了詳盡的介紹。BGP用來在AS之間實現網路可達信息的交換，整個交換過程要求建立在可靠的傳輸連線基礎上來實現。這樣做有許多優點，BGP可以將所有的差錯控制功能交給傳輸協定來處理，而其本身就變得簡單多了。BGP使用TCP作為其傳輸協定，預設連線埠號為179。與EGP相比，BGP有許多不同之處，其最重要的革新就是其採用路徑向量的概念和對CIDR技術的支持。路徑向量中記錄了路由所經路徑上所有AS的列表，這樣可以有效地檢測並避免複雜拓撲結構中可能出現的環路問題；對CIDR的支持，減少了路由表項，從而加快了選路速度，也減少了路由器間所要交換的路由信息。另外，BGP一旦與其他BGP路由器建立對等關係，其僅在最初的初始化過程中交換整個路由表，此後只有當自身路由表發生改變時，BGP才會產生更新報文傳送給其它路由器，且該報文中僅包含那些發生改變的路由，這樣不但減少了路由器的計算量，而且節省了BGP所占頻寬。

BGP有4種分組類型：打開分組用來建立連線；更新分組用來通告可達路由和撤銷無效路由；周期性地傳送存活分組，以確保連線的有效性；當檢測到一個差錯時，傳送通告分組。

4、IGRP協定

內部網關路由協定（IGRP：Interior Gateway Routing Protocol）是一種在自治系統（AS：autonomous system）中提供路由選擇功能的路由協定。在上世紀80年代中期，最常用的內部路由協是路由信息協定（RIP）。儘管 RIP 對於實現小型或中型同機種網際網路的路由選擇是非常有用的，但是隨著網路的不斷發展，其受到的限制也越加明顯。思科路由器的實用性和 IGRP 的強大功能性，使得眾多小型網際網路組織採用 IGRP 取代了 RIP。早在上世紀90年代，思科就推出了增強的 IGRP，進一步提高了 IGRP 的操作效率。

IGRP 是一種距離向量（Distance Vector）內部網關協定（IGP）。距離向量路由選擇協定採用數學上的距離標準計算路徑大小，該標準就是距離向量。距離向量路由選擇協定通常與鏈路狀態路由選擇協定（Link-State Routing Protocols）相對，這主要在於：距離向量路由選擇協定是對網際網路中的所有節點傳送本地連線信息。

為具有更大的靈活性，IGRP 支持多路徑路由選擇服務。在循環（Round Robin）方式下，兩條同等頻寬線路能運行單通信流，如果其中一根線路傳輸失敗，系統會自動切換到另一根線路上。多路徑可以是具有不同標準但仍然奏效的多路徑線路。例如，一條線路比另一條線路優先3倍（即標準低3級），那么意味著這條路徑可以使用3次。只有符合某特定最佳路徑範圍或在差量範圍之內的路徑才可以用作多路徑。差量（Variance）是網路管理員可以設定的另一個值。

5、EIGRP協定

增強的內部網關路由選擇協定（EIGRP：Enhanced Interior Gateway Routing Protocol）是增強版的 IGRP 協定。IGRP 是思科提供的一種用於 TCP/IP 和 OSI 英特網服務的內部網關路由選擇協定。它被視為是一種內部網關協定，而作為域內路由選擇的一種外部網關協定，它還沒有得到普遍套用。

Enhanced IGRP 與其它路由選擇協定之間主要區別包括：收斂寬速（Fast Convergence）、支持變長子網掩模（Subnet Mask）、局部更新和多網路層協定。執行 Enhanced IGRP 的路由器存儲了所有其相鄰路由表，以便於它能快速利用各種選擇路徑（Alternate Routes）。如果沒有合適路徑，Enhanced IGRP 查詢其鄰居以獲取所需路徑。直到找到合適路徑，Enhanced IGRP 查詢才會終止，否則一直持續下去。

EIGRP 協定對所有的 EIGRP 路由進行任意掩碼長度的路由聚合，從而減少路由信息傳輸，節省頻寬。另外 EIGRP 協定可以通過配置，在任意接口的位邊界路由器上支持路由聚合。

Enhanced IGRP 不作周期性更新。取而代之，當路徑度量標準改變時，Enhanced IGRP 只傳送局部更新（Partial Updates）信息。局部更新信息的傳輸自動受到限制，從而使得只有那些需要信息的路由器才會更新。基於以上這兩種性能，因此 Enhanced IGRP 損耗的頻寬比 IGRP 少得多。

6、ES-IS和IS-IS協定

在ISO規範中，一個路由器就是一個IS（中間系統），一個主機就是一個ES（末端系統）。提供IS和ES（路由器和主機）之間通信的協定，就是ES-IS；提供IS和IS（路由器和路由器）之間通信的協定也就是路由協定，叫IS-IS。

IS-IS協定屬於OSI模型，在網路層中，分為兩個子層： Subnetwork Dependent Layer： 它在Subnetwork Independent Layer上把鏈路狀態禁止掉了，提供上層一個透明的工作環境。功能： 完成了PDU從連線網路上的接受和傳送； 負責Hello PDU的傳送接受，完成鄰居的發現和連結關係的建立，維護；負責把IP和IS-IS的PDU交給各自的Process進行處理，特性：由於它是負責和地下鏈路打交道的，所以它決定了IS-IS路由協定支持什麼網路類型。廣播和點對點兩種類型。 使用show clns is-neighbors命令可以查看鄰居表：Circuit ID：是一個只有8位bit長度的ID用來確定IS的接口，如果這個接口是連線著一個廣播網路，那么它的Circuit ID變成了連線多播網路的DR的System ID+Circuit ID。LAN ID：System ID+Circuit ID，也就是由DR產生分發的一個ID，來表示路由器鄰居的特性。

在IS-IS中，DR路由器的選擇： 通過接口的優先權，只不過這些優先權分成L1和L2，如果優先權為零，那么這個路由器無權進行DR選舉。如果優先權相同，根據System ID來進行選擇，最高的成為System ID。

和OSPF不同的是，在廣播網路中，IS-IS路由器和所有的鄰居都會形成adjancency,而不只和DR形成；沒有BDR的概念，如果一個Dr fail了，會在區域中重新選一個出來；而且IS-IS路由協定的DR不是恆定的，如果有一個優先權更高或SystemID更高的路由器加入，會導致整個區域重新進行DR的選擇，並重新泛洪LSP報文通知DR的信息。

對於大多數企業區域網路來說，路由器已經成為正在使用之中的最重要的安全設備之一。一般來說，大多數網路都有一個主要的接入點。這就是通常與專用防火牆一起使用的“邊界路由器”。

經過恰當的設定，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話，這種路由器還能夠讓好人進入網路。不過，沒有恰當設定的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網路安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網路的磚牆，而不是一個敞開的大門。

1.修改默認的口令!

據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱，80%的安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。網站維護一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉IP直接廣播(IP Directed Broadcast)

你的伺服器是很聽話的。讓它做什麼它就做什麼，而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網路廣播地址傳送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網路性能。

參考你的路由器信息檔案，了解如何關閉IP直接廣播。例如，“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。

3.如果可能，關閉路由器的HTTP設定

正如思科的技術說明中簡要說明的那樣，HTTP使用的身份識別協定相當於向整個網路傳送一個未加密的口令。然而，遺憾的是，HTTP協定中沒有一個用於驗證口令或者一次性口令的有效規定。

雖然這種未加密的口令對於你從遠程位置(例如家裡)設定你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器，你一定要確保使用SNMPv3以上版本的協定，因為它支持更嚴格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機。因此，ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力，你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。

請注意，這樣做實際上並不能保護你的網路不受攻擊，但是，這將使你不太可能成為一個攻擊目標。

5.關閉IP源路由

IP協定允許一台主機指定數據包通過你的網路的路由，而不是允許網路組件確定最佳的路徑。這個功能的合法的套用是用於診斷連線故障。但是，這種用途很少套用。這項功能最常用的用途是為了偵察目的對你的網路進行鏡像，或者用於攻擊者在你的專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障，否則應該關閉這個功能。

6.確定你的數據包過濾的需求

封鎖連線埠有兩項理由。其中之一根據你對安全水平的要求對於你的網路是合適的。

對於高度安全的網路來說，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的連線埠和IP位址都必要要封鎖。例如，用於web通信的連線埠80和用於SMTP的110/25連線埠允許來自指定地址的訪問，而所有其它連線埠和地址都可以關閉。

大多數網路將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，可以封鎖你的網路沒有使用的連線埠和特洛伊木馬或者偵查活動常用的連線埠來增強你的網路的安全性。例如，封鎖139連線埠和445(TCP和UDP)連線埠將使黑客更難對你的網路實施窮舉攻擊。封鎖31337(TCP和UDP)連線埠將使Back Orifice木馬程式更難攻擊你的網路。

這項工作應該在網路規劃階段確定，這時候安全水平的要求應該符合網路用戶的需求。查看這些連線埠的列表，了解這些連線埠正常的用途。

7.建立準許進入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據IP位址過濾進出網路的違反安全規定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網路內部訪問網際網路的IP位址都應該有一個分配給你的區域網路的地址。例如，192.168.0.1這個地址也許通過這個路由器訪問網際網路是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，並且是一場攻擊的一部分。

相反，來自網際網路外部的通信的源地址應該不是你的內部網路的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最後，擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這台路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網路嗅探的角度看，路由器比集線器更安全。這是因為路由器根據IP位址智慧型化地路由數據包，而集線器相所有的節點播出數據。如果連線到那台集線器的一個系統將其網路適配器置於混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然後，重要的是確保物理訪問你的網路設備是安全的，以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。

9.花時間審閱安全記錄

審閱你的路由器記錄(通過其內置的防火牆功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄，你還能夠查出試圖建立外部連線的特洛伊木馬程式和間諜軟體程式。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位於你的網路的邊緣，並且允許你看到進出你的網路全部通信的狀況。