交换机路由器的选型
路由器和防火墙的选型 任务描述: 一个主干为百兆的网络,用户数量不多,信息点仅为 200 个。基于网络应用的要求,拟采用 专线方式接入 Internte,我们的任务是选择合适的路由器来达到用户的需求。 背景知识: 1、 什么是路由器?路由器的主要工作? 路由器的定义: 就是把数据从一个网络传送到另一个网络的行为和动作, 而路由器正式执行 这种动作的机器。具体而言,路由器是一种连接多个网络或网段的网络设备,能对不同网络 或网段之间的数据信息进行“翻译” ,以使他们能够相互读懂对方的数据,从而构成一个更 大的网络。 路由器的主要工作: 就是未经过路由器的每个数据帧寻找一条最佳路径, 并将该数据有效的 传送到目的站点。 2、防火墙的功能和分类? 防火墙的功能: 防火墙对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机 上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特 洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙的分类: 1、防火墙的基本分类: ①包过滤防火墙 第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行, 取决于所建立的一套规则。这称为包过滤防火墙。 本质上,包过滤防火墙是多址的,表明 它有两个或两个以上网络适配器或接口。例如,作为防火墙的设备可能有两块网卡(NIC), 一块连到内部网络,一块连到公共的 Internet。防火墙的任务,就是作为“通信警察” ,指引 包和截住那些有危害的包。 ②状态/动态检测防火墙 状态/动态检测防火墙的优点有: 1. 检查 IP 包的每个字段的能力,并遵从基于包中信息的过滤规则。 2. 识别带有欺骗性源 IP 地址包的能力。 3. 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙, 绕过是困难的。 状态/动态检测防火墙的缺点: 状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网 络连接的某种迟滞, 特别是在同时有许多连接激活的时候, 或者是有大量的过滤网络通信的 规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力 于提高他们产品的速度。 ③NA T 网络地址转换(NA T)协议将内部网络的多个 IP 地址转换到一个公共地址发到 Internet 上。 NA T 经常用于小型办公室、 家庭等网络, 多个用户分享单一的 IP 地址, 并为 Internet 连接提供一些安全机制。 当内部用户与一个公共主机通信时,NA T 追踪是哪一个用户作的 请求,修改传出的包,这样包就像是来自单一的公共 IP 地址,然后再打开连接。一旦建立 了连接,在内部计算机和 Web 站点之间来回流动的通信就都是透明的了。 当从公共网络传 来一个未经请求的传入连接时,NA T 有一套规则来决定如何处理它。如果没有事先定义好 的规则,NA T 只是简单的丢弃所有未经请求的传入连接,就像包过滤防火墙所做的那样。 ④个人防火墙 现在网络上流传着很多的个人防火墙软件,它是应用程序级的。个人防火墙是一种能 够保护个人计算机系统安全的软件,它可以直接在用户的计算机上运行,使用与状态/动态 检测防火墙相同的方式,保护一台计算机免受攻击。通常,这些防火墙是安装在计算机网络 接口的较低级别上,使得它们可以监视传入传出网卡的所有网络通信。 2、以软硬件形式区分: ①软件防火墙 ②硬件防火墙 ③芯片级防火墙 3、以防火墙所采用的技术不同区分: ①包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的 数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中 都会包含一些特定信息,如数据的源地址、目标地址、 TCP/UDP 源端口和目标端口等。防 火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点,一旦发 现来自危险站点的数据包, 防火墙便会将这些数据拒之门外。 系统管理员也可以根据实际情 况灵活制订判断规则。 ②代理型 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受 来自内部网络特定用户应用程序的通信, 然后建立于公共网络服务器单独的连接。 网络内部 的用户不直接与外部的服务器通信,所以服务器不能直接访问内部网的任何一部分。 ③监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型 防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测 型防火墙能够有效地判断出各层中的非法侵入。 同时, 这种检测型防火墙产品一般还带有分 布式探测器, 这些探测器安置在各种应用服务器和其他网络的节点之中, 不仅能够检测来自 网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针 对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传 统防火墙的定义,而且在安全性上也超越了前两代产品。 3、路由器的选型的考虑 (1) 、路由协议: 路由器就是用来连接不同网络的, 这些所连接的不同网络可能采用的是同一种通信协 议,也可能采用的是不同的通信协议。这就要在选配路由器是充分考虑。如果路由器不支持 一方的协议, 就无法实现他在网络之间的路由功能, 为此在选配路由器是还要注意所选路由 器所能支持的网络协议有哪些, 特别是在广域网中的路由器。 只是因为广域网中路由协议非 常的多,网络相当的复杂。相对而言,由于局域网之间的路由器就较为简单。因此选配路由 器时,要根据路由器目前即将来的实际需要来决定所选的路由器支持何种协议。 (2) 、背板能力: 通常是指路由器背板容量或者总线带宽能力,通常中档路由器的包转发能力均应在 1Mpps 以上。 这个性能对于保证整个网络之间的连接速度是非常重要的。 如果所连接的两个 网络速率都较快,而由于路由器的带宽限制,就将直接影响整个网络之间的通信速率。如果 连接的是两个较大的网络,当网络流量较大适应格外注意一下背板容量。但要注意,背板能 力只能在设计中体现,一般无法测试。 (3) 、丢包率: 丢包率是指在一定的数据流量下,路由器不能正确进行数据转发的数据包在总的数据 包中所占的比例。 丢包率的大小会影响到路由器线路的实际工作速率, 严重时甚至会使线路 中断。通常正常工作所需的路由器丢包率应小于 1%。 (4) 、转发延迟: 路由器的转发延迟指从需转发的数据包最后一比特进入路由器端口,到该数据包第一 比特出现在段落链路上的时间间隔,该值越小越好,通常用毫秒计算。时延与数据包长度和 链路速率都有关,通常在路由器端口吞吐量范围内对其进行测试。 (5) 、路由表容量: 路由表容量是指路由器运行中可以容纳的路由数量。一般来说,路由器越高档,路由表 容量越大, 以为他可能要面对非常庞大的网络。 这一参数还与路由器自身所带的缓存大小有 关。 (6) 、扩展能力 扩展能力是考查路由器性能的一个关键点。 随着计算机网络应用的逐渐增长, 现有的网 络规模可能不能满足实际需求, 由此会产生扩大网络规模的要求,