Cisco路由器的安全配置簡易例項(上)

1 引言

　　作為網路工程師，在網路環境出現故障時，及時定位故障並解決故障是十分重要的。本文以路由式網路為基礎，介紹使用診斷工具對Cisco路由器進行故障診斷的方法。限於篇幅，我們所介紹的內容和示例主要是基於報文的，基於IPX和Appletalk等協議的診斷技術與此類似。[@more@]2 路由器的功能特性和體系結構

　　在學習Cisco路由器上可使用的各種故障排除和診斷工具之前，瞭解路由器的基本體系結構是十分重要的。網路工程師應該理解診斷命令執行時所起的作用以及對於路由器效能所產生的影響。

　　交換與路由是我們在網路互聯中經常遇到的術語。此處所說的交換與區域網中的幀級交換是完全不同的概念。交換過程是指路由器如何在兩個不同的介面間傳送報文。

　　比如，路由器在乙太網介面0接收到一個報文。路由器首先從報文中獲取MAC頭資訊，然後檢查網路層報文頭。路由器檢查路由表是否有與報文的目的地址匹配的表項。假設路由表中包含匹配的項，並且下一跳地址是另外一個路由器，該路由器可以透過乙太網介面1到達。然後路由器需要檢查下一跳的第二層地址。如果它沒有該地址，則需要在乙太網介面1傳送ARP廣播報文。如果沒有接收到ARP響應，路由器則將該報文丟棄。如果有響應資訊，路由器則建立到下一跳路由器的乙太網幀。在這個例子中，路由器從接收到乙太網幀到建立併傳送乙太網幀的整個過程稱為交換過程。需要注意的是，ARP解析過程通常不認為是交換過程的一部分。上面的過程中，執行路由表查詢以尋找下一跳的地址表明採用了交換過程。這是一種最簡單的報文交換方法，因而其開銷和延遲都比較大。所有的路由協議最終都依賴於路由表的建立，路由器透過接收執行相同協議的相鄰路由器傳送的路由更新報文來更新相應的路由表，我們稱之為路由過程（routing process），它主要由路由處理器完成。

　　目前在國內應用比較廣泛的Cisco路由器包括2500系列、4000系列、7000系列和7500系列，這些路由器進行路由的過程基本上是相似的，但是交換的過程卻根據其系統結構的不同而不同。

　　7000系列支援過程交換、快速交換、自治交換和矽交換。Cisco 7500系列路由器比7000系列在體系結構方面有很多改進。路由處理器和交換處理器的功能被整合到路由器交換處理器（RSP）中。這一新的體系結構減少了快速交換時系統匯流排的負載。整合後的功能對路由處理器和交換處理器都作了效能、穩定性、可擴充性和安全等方面的最佳化。7500系列路由器既不支援自治交換也支援矽交換，它支援更加靈活的最佳化交換。

　　Cisco 4000/2500系列路由器的硬體結構比7000/7500系列路由器的硬體結構簡單。這些裝置只在交換過程中才共享儲存器。所有的報文快取和都位於共享儲存器中，因此只支援快速交換或過程交換。

　　需要知道過程交換需要透過查詢路由表來做出路由選擇，而且其他交換技術都是透過快取來提高交換速度的，因為其快取的位置不同而分別稱為不同的技術。


來源：Cisco.com