路由器技术综述

作为一种高效的IP骨干网技术平台，MPLS技术为下一代的IP网络提供了一种灵活的而且具有可扩展性的骨干网交换技术基础。使用MPLS技术，将可以大大提高网络的运行效率，可以实现对IP网上业务的QoS划分，并且可以通过流量工程对网络的资源进行合理的分配，实现约束路由。借助于这些能力，MPLS网络还将能够提供高效的VPN业务、实时业务等。可以说，MPLS技术很有可能成为IP网络向下一代的电信级的IP网络演进中的关键技术。所以MPLS技术也可能是路由器是否成为下一代IP网络的核心设备的关键。

虽然MPLS拥有种种优点，但是在大网上还没有广泛应用。原因在于协议不成熟，多厂商互通性存在问题，MPLS跨AS甚至跨Area存在问题，VC Merge(VC合并)需要研究。然而在目前看来，MPLS是实现基于网络VPN最理想的方案并且能够实现流量工程。未来IP网的研究必须探讨采用MPLS的可能性。路由器设备必须考虑实现MPLS。

VPN技术

VPN是指在公用网络上建立虚拟私有网。可以从不同的角度对VPN进行分类：

按接入方式划分

专线VPN：为已经通过专线接入ISP边缘路由器的用户提供的VPN实现方案。

拨号VPN(又称VPDN)：指为利用拨号PSTN或ISDN接入 ISP的用户提供的VPN业务。

按协议类型划分

第二层隧道协议：点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)。

第三层隧道协议：通用路由封装协议(GRE)、IP安全(IPSec)。

MPLS隧道协议可以看成在第二层和第三层之间。

按VPN的发起方式划分

客户发起(也称基于客户的)：VPN服务提供的起始点和终止点是面向客户的，其内部技术构成、实施和管理对VPN客户可见。

服务器发起(也称客户透明方式或基于网络的)：在公司中心部门和ISP处(称为POP)安装VPN软件，客户无须安装任何特殊软件。

按目前运营商所开展的类型划分

拨号VPN业务(VPDN)：就是第一种划分方式中的VPDN。

虚拟租用线(VLL)：是对传统的租用线业务的仿真，以IP网络对租用线进行模拟，而这样一条虚拟租用线两端的用户看来，该虚拟租用线等价于过去的租用线。

虚拟专用路由网(VPRN)业务：包括两类，一是使用传统的VPN协议，如 IPSec、GRE等实现的VPRN。另外一种是MPLS方式的VPN。

路由器上的QoS

路由器上的QoS可以通过下面几种手段获得：

通过大带宽得到。在路由器上除增加接口带宽以外不作任何额外工作来保障QoS。

由于数据通信没有相应公认的数学模型作保障，该方法只能粗略地使用经验值作估计。通常认为当带宽利用率到达50％以后就应当扩容，保证接口带宽利用率小于50％。

通过端到端带宽预留实现。该方法通过使用RSVP或者类似协议在全网范围内通信的节点间端到端预留带宽。该方法能保证QoS，但是代价太高，通常只在企业网或者私网上运行，在大网公网上无法实现。

通过接入控制、拥塞控制和区分服务（Diff?Serv）等方式得到。该方式无法完全保证QoS。这能与增加接口带宽等方式结合使用，在一定程度上提供相对的CoS。

通过MPLS流量工程得到。

路由器安全性

路由器的安全性分两方面，一方面是路由器本身的安全，另一方面是数据的安全。

由于路由器是互联网的核心，是网络互连的关键设备。所以路由器的安全要求比其他设备的安全性要求更高。主机的安全漏洞最多导致该主机无法访问，路由器的安全漏洞可能导致整个网络不可访问。

路由器的安全漏洞可能存在管理上原因和技术上原因。在管理上，对路由器口令糟糕的选择、路由协议授权机制的不恰当使用、错误的路由配置都可能导致路由器工作出现问题。技术上路由器的安全漏洞可能有如下方面：

恶意攻击。如窃听、流量分析、假冒、重发、拒绝服务、资源非授权访问、干扰、病毒等攻击。

软件漏洞。后门、操作系统漏洞、数据库漏洞、TCP/IP协议漏洞、网络服务等都可能会存在漏洞。

路由器所传递数据的安全可以由网络提供或者用户提供。如果由网络提供则只与接入路由器相关。通常可以由接入路由器提供IPSec安全通道来保证安全。