超级终端

2021-01-06 来源：爱问旅游网

超级终端

超级终端是Windows操作系统自带的一个通讯工具可以通过这个工具对路由器交换机等进行配置使用：开始→程序→附件→通讯→超级终端可新建或者使用现有的连接对设备进行配置启动命令是：hypertrm.exe

超级终端是一个通用的串行交互软件，很多嵌入式应用的系统有与之交换的相应程序，通过这些程序，可以通过超级终端与嵌入式系统交互，使超级终端成为嵌入式系统的“显示器”。

一、超级终端的原理

超级终端的原理并不复杂，它是将用户输入随时发向串口（采用TCP协议时是发往网口，这里只说串口的情况），但并不显示输入。它显示的是从串口接收到的字符。所以，嵌入式系统的相应程序应该完成的任务便是：

1、将自己的启动信息、过程信息主动发到运行有超级终端的主机； 2、将接收到的字符返回到主机，同时发送需要也可以远程管理服务器。

“超级终端”是一个程序，您可以通过调制解调器、零调制解调器电缆或以太网连接，使用该程序连接到其他计算机、Telnet 站点、公告板系统 (BBS)、联机服务和主机。

所谓的超级终端通俗得讲，其实就是指的挂在网络中的一台电脑或一组电脑，这台或这些电脑可以通过互联网来处理不仅是文本还可以处理包括图片、动画、声音、电影等的多媒体信息，HTML本身就是超级文本。

这样说吧，你家里的一台电脑就是一个超级终端，只是很简单；网吧里的一组局域肉相联后再接到Internet上也是超级终端，这两种情况是索取性质的。

而一个网站、一个游戏伺服则是给别人提供方便提供服务的超级终端。另外还有网通公司、铁通公司、电信公司等提供的中继站，他们也是，正是他的中继功能才把我们家家户户的电脑共同引入到了一个更大的网络空间，大到中国和美国、日本的中继服务器，这是更大的超级终端

仿真器

[编辑本段]

计算机科学中的仿真器（软件）

概述

仿真器（emulator）以某一系统复现另一系统的功能。与计算机模拟（Computer Simulation）的区别在于，仿真器致力于模仿系统的外在表现、行为，而不是模拟系统的抽象模型。请参阅仿真和模拟词条。

翻译问题

仿真器（emulator）常被翻译为“模拟器（simulator）”，这是过去的翻译错误造成的。现已约定俗成。请参阅模拟器词条。

[编辑本段]

电子技术中的仿真器（硬件）

概述

仿真器是用以实现硬件仿真的硬件。仿真器可以实现替代单片机对程序的运行进行控制，例如单步，全速，查看资源断点等。尽管软件仿真具有无需搭建硬件电路就可以对程序进行验证的优点，但无法完全反映真实硬件的运行状况，因此还要通过硬件仿真来完成最终的设计。目前的开发过程中硬件仿真是必需的。

使用仿真器开发的问题

仿真器的可靠性非常依赖于其设计者的水平。随着电子设备的复杂化，仿真器的用户越来越难以辨别开发所遇到的问题出于何处。而基于对仿真器的信赖，用户将首先怀疑问题出自自身的设计之中。如果用户在耗费大量精力后最终发现问题来自仿真器，那么该用户可能会对所有仿真器失去信任而放弃使用。

部分用户认为仿真器不可靠，在开发中很少或不使用仿真器。他们使用以下方式进行开发：

1. 根据自己的设计建立一个符合要求的硬件平台。如果该平台涉及的程序比较复杂。还要搭建一个人机交流的通道人机交流通道可能是一个简单的发光二极，管蜂鸣器，复杂的可能是串口通讯口LCD显示屏。

2. 写一个最简单的程序例，比如让发光二极管连续闪烁。程序编译后烧写到单片机芯片中，验证硬件平台是否工作正常。

3. 硬件平台正常工作后编写系统最低层的驱动程序，每次程序更改后都重新烧写单片机芯片验证。如果在程序验证中遇到问题，则在程序中加入一些调试手段，如通过串口发送一些信息到PC端的超级终端上，用于了解程序的运行情况。

4. 系统低层驱动程序完成后再编写用户框架程序。由于这部分已经不涉及到硬件，所以程序中的问题用户一般能够发现。

然而对于复杂的情形，这样的硬件平台实际上已经具备了仿真器的功能，并发挥了仿真器的作用。

仿真器产品的服务问题

用户使用仿真器来开发产品的过程中，可能会遇到仿真器、产品本身、用户系统的问题，并求助于仿真器生产厂商。如果仿真器的生产厂商只专注于仿真器的设计，而不熟悉单片机应用，则可能无法对用户提出的问题不能作出正确的判断。反之，既熟悉仿真器的使用，又有丰富单片机开发经验的仿真器厂商则有能力给与用户技术支持，并协助用户快速地找出问题

嵌入式计算系统调测方法与技术综述

摘要：叙述嵌入式计算系统在开发阶段、生产环境和现场环境

三种情况下的调测技术和方法，以及如何在硬件和软件设计中进行可观测性和可测试性设计。

关键词：在线测试可观测性可测试性 BDM JTAG

引言

对于含有微处理器的装置来说，调测总是软件和硬件结合的。在产品开发的阶段以排错为主，在产品开发后期以及生产和现场运行阶段，则是以测试为主。不同的阶段，调测的内容、手段和使用的工具不尽相同。

测试接口并不是系统功能的一部分，测试接口设计本身也需要成本。对于小型简单系统来说，没有必要也不允许（成本考虑）设计测试接口；对于复杂系统来说，设计测试接口的花费是值得的。良好的测试接口设计可经缩短产品的开发周期，给产品维护、维修带来便利。

对于嵌入式计算系统来说，测试往往是软件和硬件相结合的，既有借助于“正确”的软件来测试硬件，也有借助于“正确”的硬件来测试软件。由于软件设计人员和硬件设计人员的技术隔膜，二者常常在出现问题后相互指责，难以界定是软件还是硬件问题。对于嵌入式系统的软件设计人员来说，必须对硬件有足够的了解。这一点，和通用计算平台上的软件设计是不同的；反之，硬件人员也必须能够编写一些测试软件，以证明其设计的正确性。

1 开发阶段的调制方法

1.1 RAM版本的目标系统调试

通过ICE（In-Circuit-Emulate）来调试目标板是开发人员最常用的手段。在产品开发初期，由于各种软件和硬件问题很多，通过仿真器并结合逻辑分析仪、示波器等硬件信号测试工具能够很好地发现问题。

在仿真器环境下，通过仿真器的监控软件来控制用户软件的运行，使用断点、单步跟踪和查看变量、CPU寄存器、存储器的数值等手段来查找问题。由于仿真器的软件和硬件需要一定的CPU资源，用户软件在仿真器环境下运行和脱离仿真器后独立运行是有区别的。好的仿真器能够尽量减小这种区别。常见的仿真器从技术上区分有：单CPU仿真器、双CPU仿真器和ROM仿真器。

在仿真器环境下，程序一般是在仿真器的RAM存储器中运行的，所以这种阶段也称为“RAM版本的目标系统调试”。

1.2 ROM版本的目标系统调试

在仿真器环境下，目标板运行调试正确后，一般的做法是将应用程序写入目标板的非易失性存储器中，让目标板单独运行。在很多情况下，目标板系统往往不能运行或者运行结果和仿真器环境下不一致。而没有连接仿真器，无法观察各种软件状态，给分析问题造成一定困难。在目标板上设计指示电路有助于发现问题；在电路板上增加1个LED是最简单也是很有效的方法。对于复杂系统，可以设计1个数码管显示输出接口，或者设计1个调试用串口，将调试信息发送到PC机上显示。

在使用PC机作为显示输出设备时，一般的做法是使用Winodws自带的超级终端软件，无需另外编制程序。和前二种方法相比，该方法的接口信号是双向的，调试者可以通过PC机输入信息到目标板中，设定显示信息的类别。这一点，对于复杂系统的调试是很有价值的，CISCO公司的很多路由器产品就使用这种方法来维护和调试。

2 生产阶段的测试方法

生产阶段的测试只是对硬件电路或者系统进行测试。测试目的是为了对产品或者部件进行分检，找出有缺陷的产品。测试内容包括：

*裸板测试——检查未安装元器件的电路板上的开路和短路缺陷；

*成品生产缺陷分析——检查已安装元器件的电路板上焊点的短路和开路缺陷；

*成品电气性能测试——认证每个单元器件的上电运作；

*产品功能测试——认证电路模块的功能。

生产测试和开发阶段的硬件测试不同，需要测试方法快速、能成批测试，易于在制造生产线上安装。在生产的不同阶段使用的测试工具和技术也不相同。目前常用的测试工具和技术有：人工视觉检查（MVI）、在线测试（ICT）、自动光学测试（AOI）、自动X射线测试（AXI）。其中人工视觉测试（MVI）只能用于小批量试制产品。

在线测试（ICT）是最常用的一种线路板测试方法：使用专门的针床与已焊接好的线路板上的元器件接触，通过针床在线路板上施加微小电压来测试线路通断、元件是否正确安装。由于需要为特定电路板设计专用夹具，适合于单一品种民用型家电线路板极大规模生产的测试；缺点是在高密度的SMT线路板测试困难。目前的替代解决办法是使用光学方法测试（如AOI，AXI），或者使用边界扫描技术（即基于IEEE1394标准的JTAG测试接口）测试。后者需要IC或者线路板支持此技术。

功能测试是生产过程的最后阶段使用，测试线路板或者系统的功能指标，一般的功能测试需要设计专用测试设备和测试软件。

3 现场测试技术

现场测试分为三种情况：一种是在线测试，测试设备不停止运行；一种是停机测试，被测试设备停止运行；第三种为脱机测试，将被测部件从运行现场取出，放到专用的测试装备上进行测试。从测试技术角度上说，后二者更容易进行各种测试；对于复杂系统来说，往往故障和问题需要在设备运行时才能发现和定位，必须进行在线测试。究竟采取哪种方式进行现场测试，取决于故障状况和实际应用是否允许立即停机。

开发阶段产品和成熟产品的现场测试要求也不同：前者测试目的

主要是发现设计中的问题，由产品开发人员进行；后者侧重于发现使用中的问题和失效的部件，目的是更换部件，由产品使用人员进行。（但测试方法和步骤也有可能是设计人员制定的。）

现场测试和试验室测试的最大区别就是测试设备难以安装和连接：线路板封闭在机箱中，测试信号线很难引入，即使设备外壳上留有测试插座，测试信号线也需要很长，传统的在线仿真器在现场测试中无法使用。另一方面，现场往往没有实验室里的各种测试仪器和设备，因此，必须有更好的方法和手段来完成测试。

嵌入式处理器中目前有很多芯片具有类似Motorola公司683XX系列处理器的BDM调试接口（详见第5部分）。这种接口是串行的，处理器内部固化了调试微码，为现场测试带来了方便。对于不具备这种接口的嵌入式计算系统，在系统设计时将关键信号点引出到一个测试接口插座上，通过该插座可输入测试激励信号和观察输出信号；对于软件测试，可使用前文中所述的ROM板测试方法，外接显示部件来观察程序运行情况。

软件现场调试的另外一个要求是程序应能够现场下载，以便在发现问题后能够修改软件。现场在线下载程序的方法有两种：一种是使用具有ISP功能的处理（如Philips公司的P89C51RD系列MCU等），另一种方案是将软件设计成两部分，一部分是应用功能软件，另一部分是完成前者下载到系统中的下载通信软件。无论哪种方法，下载的主机均是PC机。

如果需要达到远程调试和下载的目的，则要使用后一种方案。例如，在Echelon公司的Lonwork现场总线产品中，每个节点中的程序均可以通过网络下载，这种功能为多节点网络系统的现场调试带来了极大方便。

4 可测试性设计

在产品开发初期，产品测试的目的是验证产品设计的正确性，而可测试性部件的存在则能加快测试速度，缩短产品开发周期；在生产阶段，通过测试来剔除有缺陷的产品和部件；在使用阶段，测试则用于故障定位，找出失效的部件并更换或者维修。可见，产品的测试在产品生命周期各阶段均有十分重要的作用。可测试性设计应该在产品设计初期就加以考虑，结合测试在不同阶段的作用来设计测试模块和接口。

产品的可测试性设计要考虑的问题有：测试的目的、测试部件的位置、测试部件的基本要素、内置测试部件与外部测试设备仪器之间的电气和机械连接，添加测试部件对被测模块功能和性能的影响、测试部件的成本以及何时使用测试功能等。

如前所述，测试在产品不同阶段是有差别的。在产品开发阶段，很多参数需要定量和详细地进行测试，以验证产品在各种不同情况下是否能正常工作；测试参数，测试点较多，可以方便地连接各种外部测试仪器，也不需要考虑添加测试部件所带来的附加成本。在产品生产和使用阶段，测试的节点和参数数量也相对减少，测试一般是定性的，无需借助于外部设备的自测试，成本因素也必须考虑。

测试部件一般位于被测部件的接口和边界位置上，如图上所示，用于产品控制被测部件的激励信号和采样被测部件的输出信号。测试部件一般由测试信号源、信号传输通道、测试观察装置等组成。测试部件可以完全包含在被测部件中，也可部分位于外部（如外接信号源和示波器等）。对于自动测试，测试部件还包括被测部件的预期输出存储部件比较部分。

在一个系统中，如何划分模块，确定测试位置（即模块的边界）是关系到可测试性设计是否合理的首要问题。模块间最小相关原则和模块内最小相似原则是两个重要依据：前者保证测试可以独立进行，不需要很多其它模块的配合；后者可以使测试能正确反映被测模块的大部分工况，不至于漏测很多工作状态。

很多情况下，从被测模块的边界直接引出信号有困难，测试信号需要经过其它模块引入到被测模块上。如果作为信号路径的模块对信号特征没有改变，则称这种测试路径是透明的，路径模块必须能在旁路模式和正常工作模式之间切换，实现起来有局限性。对于硬件来说，最简单的透明路径是使用跳线。

对于简单嵌入式系统来说，测试一般包括上电自测试和人为测试。后者在故障出现时进行。对于复杂系统来说，还包括定时自动测试，比如在大型程控交换机和飞机机载电子设备的运行过程中，均定时进行自检。

可测试性设计还应考虑测试功能所使用对象的不同。产品设计人员、产品使用人员和产品维护人员对测试内容的要求是同的，需要进行分层次的可测试性设计。

对于硬件和系统的可测试性设计已有IEEE1149.1/4/5等标准可以借鉴，对于单纯的软件测试，目前尚无具体和统一的标准，只有诸如代码格式分析、白盒测试、黑盒测试、覆盖测试等测试方法。软件测试的途径有两个。一是在源代码中增加大量测试代码，使用条件编译指令来控制形成调试、测试和最终发布等不同版本。调测版本的代码规模要比最终的发布版本大很多，在问题解决后，一般将临时性测试代码通过编译开关屏蔽。另外一个软件测试途径是使用专用的测试软件（如法国Telelogic公司的LOGISCOPE测试工具），这些测试软件能完成诸如覆盖测试、代码格式分析等功能，但均是针对特定的语言和操作系统环境，使用上一些限制。

还需要说明的就是“可观测”设计的概念。可观测性和可测试性不同，不需要加入激励信号，只观察系统运行中某些内部状态，比如软件中某个重要变量的数值变化，硬件电路中某个IC引脚的信号电平等。在设计中，应该保留这些观察接口，以便需要时用它来判断和分析系统的问题。一个可测试的系统，一定是可观测的，反之则不然。设计可测试性系统的目的是为了以后修改和改进设计，而使系统具有可观测性则是为了维护系统，判断哪个是出故障的部件，以便更换。可测试性设计一般用于新产品，而可观测性设计用于成熟产品。当然，在结构、安装条件和成本允许的情况下，成熟产品也应具有可测试性。实际上，由于处理器技术和芯片的日新月异，已经不存在真正意义上的成熟产品了。

在一类产品中的可测试性设计应该具有一致性，例如，用红色LED表示电源状态，所有电路板均应采用红色LED，点亮的频率也应该一致。作为企业，应制定相关的测试接口标准，并且这些标准应符合行业习惯或者行业标准。

5 测试和调试接口标准

测试和调试接口标准：JTAG和BDM。

5.1 背景调试模式

在使用传统的ICE来调试时，使用ICE中的CPU来取代目标板中的CPU，目标板和ICE之间使用多芯扁平电缆来连接，而ICE在使用时一般还需要缩主机（一般来PC）来连接。

在一些高端微处理器内部已经包含了用于调试的微码，调试时仿真器软件和目标板上的CPU的调试微码通信，目标板上的CPU无需取出。由于软件调试指令无需经过一段扁平电缆来控制目标板，避免了高频操作限制、交流和直流的不匹配以及调试线缆的电阻影响等问题。这种调试模式在Motorola公司产品68300系列中被称为背景调试模式BDM（Background Debug Mode）。在仿真器和目标之间使用8芯（或者10芯）的BDM接口来连接，其他公司的嵌入式处理器也有类似功能，不过叫法不同，例如AMD公司在其X86

微处理器上提供“AMDebug”的调试接口。

实际上，BDM相当于将ICE仿真器软件和硬件内置在处理器，这使得我们直接使用PC机的并口来调试软件，不再需要ICE硬件，大大节约了汽油发成本。一些调试器供应商也提供这种软件产品（如XRAY）。对于用户来说，为了调试一些特定问题，可以直接使用BDM命令来调试目标系统，以弥补商业调试软件的不足。

BDM接口有8根信号线，也有为10根信号线的，如图2所示。调试软件通过4脚使CPU进入背景调试模式，调试命令的串行信号则8通过脚输入,同时4脚输入信号步时钟，而CPU中的微码在执行命令后会在10脚输出调试结果指示信号。可见，BDM接口引线由并口和PC机相连，调试命令则是通过串行方式输入的。

目前在CPU内置的调试接口和微码方面，各厂家尚无统一标准。处理器厂家、工具开发公司和仪器制造商曾于1998年组成了Nexus 5001 Forum(Nexus 5001论坛)，成员包括Motorola、Infineon Technologies、日立、ETAS和惠普公司等，正致力于制定一个统一的片上通用调试接口。这方面的进一步情况可查阅http://www.nexus-standard.org/网站。

5.2 边界扫描测试技术和JTAG接口

边界扫描测试技术（Boundary-Scan Test Architecture）属于一种可测试性设计。其基本思想是在芯片引脚和芯片内部逻辑之间（即芯片边界位置）增加串行连接的边界扫描测试单元，实现对芯片引脚状态的设定和读取，使芯片引脚状态具有可控性和可观测性。

边界扫描测试技术最初由各大半导体公司（Philips、IBM、Intel等）成立的联全测试行动小组JTAG（Join Test Action Group）于1988年提出，1990年被IEEE规定为电子产品可测试性设计的标准（IEEE1149.1/2/3）。目前，该标准已被一些大规模集成电路所采用（如DSP、CPU、FPGA等），而访问边界扫描测试电路的接口信号定义标准被称为JTAG接口，

很多嵌入式处理器内置了这种测试接口。在Cygnal公司的C8051F000系列单片机中和一些FPGA芯片中，JTAG接口不仅能用于测试，也是器件的编程接口。

IEEE1149.1标准支持以下3种测试功能：

*内部测试——IC内部的逻辑测试；

*外部测试——IC间相互连接的测试；

*取样测试——IC正常运行时的数据取样测试。

图3给出了具有2个芯片的系统的边界扫描测试原理。

图3中，TCK为测试同步时钟输入，TMS为测试模式选中输入，TDI为测试数据输入，TDO为测试数据输出，由测试移位寄存器产品。图3中的小方框表示位于芯片外围的边界扫描测试逻辑单元，芯片每个引脚信号经过边界扫描单元和内部的功能单元相连接。

目前，边界扫描技术的应用主要在数字IC的测试上，这种设计思想也可用于模拟系统、板级测试甚至系统测试上。IEEE也制定了和IEEE1149.1相类似的标准IEEE P1149.4（数模混合信号测试总线标准）、IEEE 1149.5（电路板测试和维护总线标准）。

路由器硬件和操作系统软件关系之我见

路由器系统是硬件和软件的结合体，硬件用的可以是ARM内核或者MIPS内核，或者是PPC，或者是Intel的CPU。这个核心部分相当于我们使用的PC的CPU。一台PC一般只要一个网卡，但是路由器需要多个网卡。现在大部分PC的网卡是通过PCI总线连接到CPU的总线的，所有的数据交换都需要通过CPU的处理。而路由器的设计，网卡一般直接连接到数据总线上，比PC的PCI连接效率要高很多，一些高级的路由器的网卡采用了专用的芯片，芯片上有数据处理器，网卡和网卡之间的数据传送不需要CPU参与太多。路由器系统除了CPU，网卡以外，还有flash，和内存。Flash相当于PC的硬盘，内存当然是相当于PC的内存了。由于路由器系统是用来转发数据的，而PC系统的设计却是满足某种应用服务，或者办公或者家用界面的使用，如编辑，存储等，虽然路由器的设计和PC的设计在基本理论上是相似的，有CPU/内存/“硬盘”，但是实际上千差万别。我们分几个方面来看： 1、首先硬件上的差别。安装一台PC以后，我们可以不停地往里面安装应用程序，也不停地存储自己编写的或者从其他机器和网络上的文件，所以希望硬盘越大越好；办公系统

的程序设计是不太考虑内存的优化的，有多少内存使用多少内存，内存不够，还从硬盘借，因此安装PC，只要资金许可，我们能用1G就不用512M。由于PC一般使用Windows，当然，在相同的操作系统下面，CPU越快，程序运行得也就越快。但是大家都知道，在相同的硬件下，Linux就比Windows快，Linux运行程序占用的内存比Windows的少，效率高。

我们前面已经说过，路由器的系统设计是用来转发数据包的，将Internet的包送到本地的PC，也将本地PC的包发送到Internet。路由器做的除了和包转发有关的事情以外，还需要做些管理等方面的工作。买了路由器以后，使用者无需象Windows那样不停地往里面安装程序，也不需要将Internet下载的东西存储到路由器里。因此，路由器的flash一般是安装系统本身的操作系统软件，还有配置文件，所以不需要太多的容量，不需要象PC一样大的硬盘。一般地，好的路由器系统很小，也许只有2M以内，在这种情况下，路由器要使用8M甚至更大的flash没有意义的。同样的道理，内存也是如此，路由器的功能是转发数据包，硬件内存的使用效率依赖精简的软件，一个好的系统在运行的时候也只需要几兆的内存，再多的内存也是没用的。如果某系统说我的内存比谁的大，我的flash比谁的大，那只是很片面的误导，除非他的程序效率太低，无用的代码太多，需要更多的flash和内存，而更多的内存和flash也意味需要更多的资金，最后，当然是购买者来付这些额外的钱。

所以，如果宣传只有说硬件好是片面的，就如一台PC用的CPU是P4 3.2G，内存1G，硬盘120G，但是使用者安装了一个DoS操作系统，没有应用程序，那么这个系统恐怕满足不了绝大部分使用者的需求。所以，系统需要一个很好的软件和硬件配合。

还有一个方面的差别，路由器的硬件设计是无间断使用的，而PC不是。你可以将好的路由器开上一年，它仍然能保持硬件的稳定性，而PC（非服务器），你只要连续开一个星期，就得当心了。

2、其次是软件上的差别。在PC使用的软件从微软公司这条线看，以前有DoS，后来有Windows

3.1,Windows95/98，到今天普遍应用的Windows 2000/XP，2003。相信现在除了极其少数的怀旧者以外，CPU的主频再高，内存和硬盘再庞大，大家都不会安装DoS或者Windows

3.1做办公和家庭用，原因是显而易见的。路由器也是如此，一个好的硬件系统，还需要一个操作系统软件才能一起工作。软件有大，有小。不像PC，大家都使用有限的几种软件，因此，买机器的时候，当然只需要比较硬件；而路由器，除了硬件之外，更主要的是它的操作系统。由于这些软件不像桌面软件那样，绝大部分市场是微软占据着，而是哪家公司出的产品，就是用哪家的。硬件是明摆的东西，软件才是核心，是路由器厂家的中心。华为是国内很大的企业，在国际上的也算大的通信企业，虽然它的产品看上去都有硬件，但是它还是号称自己是一个软件企业。为什么？因为，软件是核心，是华为的竞争力所在。Cisco是路由器的老大，它什么东西值钱？就是它的IOS。所以，看一家公司是否有技术能力，就看它是否有自己的操作系统就知道了。

这里再说说HiPER。HiPER的硬件这么小，为什么能做到这么快的转发能力？为什么上面的功能那么多？硬件采用的是低功耗的芯片，高度集成的芯片，而且需要保证能不间断运行。但是，核心是软件。HiPER能发挥它的功能是基于HiPER的操作系统ReOS。ReOS上海艾泰科技有限公司自主研发的，具备自主知识产权的路由器实时操作系统，是路由器和VPN网关的基础。一个在路由器和VPN网关上运行的操作系统具备哪些特点呢？

有一下几个部分： 1、稳定性 2、吞吐量

3、基本接入功能

4、高级功能：如多种NAT，多线路扩展带宽和负载均衡，备份，流量控制，网络管理和监控等

基本接入功能我在这里不说了，主要谈一下以上列出的高级功能。

-------------------------------------------------------------------------------- 路由器操作系统要求之一 —— 稳定性

1、首先是稳定性。稳定是基础。ReOS实时操作系统以精简的代码，高效率的算法来实现，是艾泰公司科技人员的创新和积累。路由器毕竟不是HUB，不是家用电器，它是一个复杂的系统。到目前为止，在这个领域，著名的当然要数：Cisco公司的IOS，Juniper公司JNOS，华为的VRP等等。而目前市场上大家见到的还有一些公司的产品基本上基于Linux改造而来。Linux大家都知道，这是一个开放的源代码系统，谁都可以改。表面上都是透明的，但是Linux本身不是为转发系统而设计，反而是类似于Windows系统和其他服务器系统，还有的如Sun公司的Solaris，HP公司的HP-UNIX，IBM公司的AIX等。现在大部分芯片提供商都提供了开发平台，这些开发平台如果不计较稳定性和效率，可以当作一个起点，做为初级产品使用。但是，由于这些系统不是自己开发的，Linux又是一个非常庞大的系统，很少能在比较短的时间里将它理解透彻，因此，这些产品如果在使用中出了问题，那么解决起来的时间会是很长，特别是时好时不好的情况下很难解决问题。我们用Red

Hat Linux 9.0做过测试，在2个以太网口的情况下，依靠它的转发机制，从一个以太网口输入，另外一个以太网口输出，Red Hat

Linux

9.0的稳定性不好。在相同的100M的输入下，一共测试10次，每次得到的输出差别很大。我们也利用市场上某知名品牌的产品，做测试，经过若干次测试以后，只有输入，没有输出了。

ReOS的设计以满足转发为最基本的要求，要求的稳定性是电信级的稳定性，能

7X24X365工作。实际上，ReOS在运营商的小区接入，网吧这个下小运营商等实际环境考验下，也证明了它的稳定性。用事实上的工业标准测试仪Smart

bits测试的结果，也表面ReOS的稳定和可靠。

一个路由器的操作系统实现不是一蹴而就的，是需要经过多年的实践和积累的。如果一个厂商不注重开发，今天看到一个可适合产品就买一个，明天发现有问题，解决不了，再换一个，这样子实际上就是一个恶性循环，永远掌握不了核心技术，因此它的产品也就没有什么稳定性可言。

【分享】路由器操作系统要求之二 —— 吞吐量

2、其次是性能。路由器的工作就是对它的端口收进来的包进行适当的修改以后，转发到需要去的端口。如果运营商的带宽超过路由器的转发能力，那么这种路由器将是网络瓶颈。路由器的吞吐量以每秒可以转发的数据量和每秒可以转发的包的数量为衡量指标，而不是用什么CPU，多少内存，多少flash，多少层电路板为指标。这个指标是IETF（Internet标准管理和维护的机构）给出的。性能指标主要有以下几个：

全双工线速转发能力

路由器最基本且最重要的功能是数据包转发。在同样端口速率下转发小包是对路由器包转发能力最大的考验。全双工线速转发能力是指以最小包长（以太网64字节）和符合协议规定的最小包间隔在路由器端口上双向传输同时不引起丢包。该指标是路由器性能重要指标。

使用ReOS的系统，如HiPER 3300，在包长为512字节的时候，已经达到双向线速转发。

端口吞吐量

端口吞吐量是指端口包转发能力，通常使用PPS（Packages Per Second）：包每秒来衡量，它是路由器在某端口上的包转发能力。通常采用两个相同速率接口测试。但是测试接口可能与接口位置及关系相关。例如同一插卡上端口间测试的吞吐量可能与不同插卡上端口间吞吐量值不同。

使用ReOS的系统，如HiPER 3300NB，端口的吞吐量可以达到60K PPS，也就是说，最多的时候，HiPER

3300NB，每秒可以转发6万多个包。当然，这个数字在HiPER使用更好的硬件的时候会再提高。

背靠背帧数

背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。该指标用于测试路由器缓存能力。有线速全双工转发能力的路由器该指标值无限大。

路由表能力

路由器通常依靠所建立及维护的路由表来决定如何转发。路由表能力是指路由表内所容纳路由表项数量的极限。丢包率

丢包率是指测试中所丢失数据包数量占所发送数据包的比率，通常在吞吐量范围内测试。丢包率与数据包长度以及包发送频率相关。在一些环境下可以加上路由抖动、大量路由后测试。

时延

时延是指数据包第一个比特进入路由器到最后一比特从路由器输出的时间间隔。在测试中通常使用测试仪表发出测试包到收到数据包的时间间隔。时延与数据包长相关，通常在路由器端口吞吐量范围内测试，超过吞吐量测试该指标没有意义。

我们再来看看行业内的情况。ReOS能在166M的ARM9芯片上达到60K的PPS，并且在包长为256的时候单向线速，在包长是512字节的时候，双向线速。比较市场上使用同类CPU的产品，它的吞吐量只有7K

PPS，ReOS是他们的9倍。这是ReOS高效率的体现。对比Cisco的路由器，如Cisco 25系列，26系列路由器和目前的HiPER

2000/3000系列采用的体系一致，按照吞吐量和CPU主频对比原则，HiPER已经超过了Cisco这类路由器的效率。

回复: 【分享】路由器操作系统高级功能

--------------------------------------------------------------------------------

3、在保证稳定和快速转发的基础上，大家接下来关心的就是功能了。前面说过，一些路由器采用Linux为基础的软件，如果该公司的开发能力有限的话，那么路由器上的功能就会比较少。一些基本的接入功能这里就不说了，我们要讨论主要有四个：一个是智能NAT和多线路接入，一个是业务管理，一个流量控制，一个是网络监控和维护功能。

【分享】路由器操作系统高级功能之一－－智能ＮＡＴ

--------------------------------------------------------------------------------

在一些企业和ICP等应用中，由于需要提供比较多的对外服务，往往会向运营商申请多个IP地址，一方面满足自己内部上网的需要，另一个方面为服务器的对外服务提供地址。ReOS设计的智能NAT可以将多个用户的IP地址映射到一个公网地址，也可以将用户分成多个组，在有多个地址的情况下，每个组的用户对应一个公网地址，同时，还支持内部地址到公网地址的一对一映射，内部服务器配置内部的地址，而从公网访问则通过公网地址，而且，智能NAT还可以将NAT和路由混合在一起，部分对外服务器可以配置公网地址。当然，

使用智能NAT功能还可以配置NAT的静态映射，将内部服务器的服务端口映射到公网地址的一个端口，因此，HiPER系列能完全满足各种复杂的网络规划。

ADSL的接入方式限于技术，带宽有限，因此很多网吧和企业申请多个ADSL以扩展内部网的带宽，或者申请光纤接入作为主线路，ADSL作为备份；学校一般通过教育科研网接入，然而，限于教育科研网和电信的互联互通的带宽，从学校访问电信的网络很慢，反之亦然，因此，学校往往再申请电信的接入线路，等等。HiPER

多线路的产品可以轻松实现提供多线路接入以扩展接入带宽。接入方式可以是ADSL，光纤，Cable

Modem，FTTx+LAN的自由组合。而且，HiPER的ReOS还提供了一套完整的线路监测技术，在某个线路失效的时候自动将流量切换到好用的线路，检测方式从链路层到应用层都有。多个线路的负载均衡技术可以根据带宽的比例分配出口的流量，也可以根据数据包的目的地址和源地址指定线路。举个例子，HiPER

3300NB虽然提供了1个WAN口和1个WAN2口，但是，通过WAN口连接交换机的方式，HiPER

3300NB最多可以支持16个ADSL线路的同时接入。而对于学校的应用，经过设置，HiPER3300NB可以将往教育科研网的流量送到教育科研网的出口，其他的流量送到电信的出口。

【分享】路由器操作系统高级功能之二－－业务管理（防火墙功能之一）

--------------------------------------------------------------------------------

ReOS系统的业务管理功能基于Filter机制和IP/MAC绑定来实现。首先，通过IP/MAC绑定不仅可以做到内部机器的IP地址和MAC地址绑定在一起，使得普通用户不能随便修改自己的IP，而且，IP/MAC绑定可以实现上

网黑白名单。具体地说，如果内部有些机器不允许上网，那么可以使用IP/MAC绑定的黑名单功能，在IP/MAC绑定的配置中，给不能上网的机器的MAC地址对应的IP地址中输入不是本路由器网络的IP地址。HiPER

3300NB可以实现200个IP/MAC绑定。如果对内网机器的控制不仅仅限制在上网，要对他们的某些行为进行控制，如禁止访问限制网站，禁止使用MSN和QQ，那么可以使用基于Filter机制的业务管理策略。ReOS有三种Filter。

Filter只是对IP包进行判断和处理。它可以根据IP包的特点，如IP源地址，目的地址，协议和源端口，目的端口等对包进行处理，如转发或者丢弃。IP

Filter的这些参数非常容易从实际环境得到。

IPSSG Filter是扩展的Filter，是HiPER转有的Filter。IPSSG Filter判断的条件除了IP Filter中说的IP源地址，目的地址，协议和源端口，目的端口这些IP基本信息以外，还可以根据MAC地址，时间段等来判断。判断的灵活度加大了，IPSSG

Filter可以列出一段地址和一段端口。

Generic Filter 是按照字节( bytes)或者比特(bits)检查任何包。使用Generic Filter，管理员需要可以根据包的内容来查找。路由器操作系统高级功能之三－－流量控制

--------------------------------------------------------------------------------

一般来说，基于存储转发机制的Internet(IPv4标准)只为用户提供了“尽力而为

(best-effort)”的服务，不能保证数据包传输的实时性、完整性以及到达的顺序性，不能保证服务的质量，所以主要应用在文件传送和电子邮件服务。随着Internet的飞速发展，人们对

于在Internet上传输分布式多媒体应用的需求越来越大，一般说来，用户对不同的分布式多媒体应用有着不同的服务质量要求，这就要求网络应能根据用户的要求分配和调度资源，因此，传统的所采用的“尽力而为”转发机制，已经不能满足用户的要求。为了解决在Internet等计算机网上高质量地传输多媒体信息地问题，IETF（Internet

Engineering Task Force）成立了专门的工作小组来研究多媒体服务质量的定义和相关的标准。

网络服务质量（quality of

service，简称QoS）是网络于用户之间以及网络上互相通信的用户之间关于信息传输与共享的质的约定，例如，传输延迟允许时间、最小传输画面失真度以及声像同步等。在Internet等计算机网络上为用户提供高质量的QoS必须解决以下问题：

a. QoS的分类与定义。对QoS进行分类和定义的目的是使网络可以根据不同类型的QoS进行管理和分配资源。例如

，给实时服务分配较大的带宽和较度的CPU处理时间等，另一方面，对QoS进行分类定义也方便用户根据不同的应用提出QoS需求。

b. 准入控制和协商。即根据网络中资源的使用情况，允许用户进入网络进行多媒体信息传输并协商其QoS。

c. 资源预约。为了给用户提供满意的QoS，必须对端系统、路由器以及传输带宽等相应的资源进行预约，以确保这些资源不被其他应用所强用。

d. 资源调度与管理。对资源进行预约之后，是否能得到这些资源，还依赖于相应的资源调度与管理系统。

IP网能发展到今天，就是因为它的简单和接入费用低廉。简单，就带来了新的应用的问题。反观ATM网，它能实现到点到点的QoS控制，但是这个功能的实现导致ATM网络的成本很高，以至用户难以接收的程度，所以到今天，ATM网络的发展和使用远远不如IP网来得那么广泛。因此，不可能让IP网回到ATM的复杂度上面，否则IP的简单的优点不复存在。但是，从目前网络情况来看，骨干带宽很大，如中国电信目前已经拥有了2500G的总容量，而用户的接入端应用比较多而且复杂，根据中国运营商的网络的使用统计，在大部分瞿，在接入端更容易造成网络瓶颈，那么在接入线路上实现IP

QoS，就能大部分地解决这些对QoS敏感的语音和视频应用。一般情况下，来自多个不同源到多个不同目的地的IP 包交汇在HiPER上。为了达到IP 流量控制和拥塞控制的目的，很关键的一点是网络根据不同的性能指标和所做的承诺，把IP包区别对待。因此把IP包划分为相应的类型是有意义的。为了提供适当的流量控制和拥塞控制机制，把IP

包区别开的过程叫包分类。IP 包分类基于如下IP 头字段中的信息：  源地址、  目的地址  协议  端口。

HiPER 通过基于类的排队(CBQ)提供了领先的IP QoS。CBQ是Internet

业内主要成员定义的开放的、非专有的带宽管理技术。通过CBQ，网络管理员可以建立和实施具体的带宽策略，同时获得有效管理成本和QoS所需的可视能力。这种提高的控制水平保证了能够在需要的时间和需要的地方为适当的用户提供需要的带宽。

HiPER实现的CBQ是处理外出的流量，也就是从LAN口到内网的流量，或者从WAN口到外网的流量。因此，可以实现用户的上行和下行的流量控制。必须注意，经过NAT处理的出入流量，在WAN的外出方向，CBQ看到的源地址都是NAT以后的地址。

配置方式，因为CBQ涉及的参数比较多，HiPER为了简化配置，基本的思路是先给需要带宽管理的用户进行分组，在组管理中对他们进行配置，以便在配置页面进行引用。可以配置的参数有：

a、本组带宽的大小

b、本组带宽空闲时可以借给其他组

c、本组带宽使用率高时可以借用其他组的带宽 d、本组内的组员平均共享带宽

WEB页面配置最终是将CBQ应用于LAN口。命令行配置可以随意定义。

通过ReOS的IP QoS功能，可以为内网的语音，视频等时延，带宽敏感的业务保证带宽，也可以管理和规划内部各个用户的带宽。这个IP

QoS控制的精度比较高。

值得一提的是，ReOS还有一种高效率的平均带宽控制功能，能限制在网内使用的所有的连接在HiPER上的PC的上行和下载带宽。

路由器操作系统高级功能之四－－网络管理和监控

--------------------------------------------------------------------------------

当把路由器安装好能用以后，不是万事大吉。由于网络的环境千变万化，今天规划好的可能明天需要改动，或者由于内部机器使用不慎，引入了病毒，造成蠕虫攻击，或者应用的变化，实际使用的带宽已经接近可用带宽。当网络发生故障的时候，就需要管理员去查找和判断故障所在。

针对HiPER的定位，ReOS设计了有很强的网络监控功能，一旦网络发生故障，他可以帮助网络管理员在最短的时间内找出问题所在。在HiPER

上能查看到网络带宽的使用情况，如WAN口的上行和下行的带宽利用率，包括数据包的数量，每秒转发的包的数量，单播包和广播包的数量等。不仅如此，管理员还能看到内网的主机使用的带宽，这样子，在网速变慢的时候，管理员通过查看带宽使用情况就能轻松了解是哪台机器的流量偏高，影响了整个网络的应用，还是因为申请的WAN口带宽偏小而造成网速变慢等。

通过HiPER 的上网监控，网络管理员能看到内网用户的上网行为，也能了解到诸如发送冲击波病毒攻击的机器，便于故障诊断。

ReOS设计了友好的WEB配置界面，方便使用和管理；同时保持传统的命令行方式，可通过TELNET或串口进行配置。提供了telnet的客户端程序，为管理HiPER内部连接的可网管的交换机或者服务器提供了通道。提供标准的SNMP接口，供远程SNMP网管管理；提供系统日志功能，可通过远程SYSLOG服务器将日志记录下来。

路由器硬件和操作系统软件关系之我见

--------------------------------------------------------------------------------

楼主说的个人认为有些道理，不过对你说的reos是完全自己开发的，我表示怀疑。我是在高校做网络研究的，多少也懂得一些，象juniper就是基于freebsd的，cisco也是基于bsd，华为的系统也差不离，如果你懂得特权密码，你可以进入他的类unix系统，你可以ls看看。你敢说reos的开发没有参考开源的东西，hiper用的cbq算法其实在linux都有实现，这个东西其实性能也不是很好，在ns2上做仿真就知道了。我记得德国的一个大学搞出的一个算法，就改进了cbq的一些缺点，还开源。回头看看utt才成立多久，如果你留意US的startups的招聘广告就知道，人家拿那么多的vc来开发产品，一般都是要做6-18个月，何况人家请的都是什么人。你拿red

hat9.0来做对比，我认为就不是很合理，一个是分时os，一个是嵌入式rtos，都不是一个级别，怎么比？如果你把redhat做裁减，我看性能也不比hiper的性能差，就看你怎么优

化参数。说老实话，我手头上也有一台hiper的2190，这个东西负荷大的时候也不行。目前国内确实是有不少公司是拿linux做裁减来做路由系统，但是如果技术能力够强，做出来的东西也不比专业的差。但是这样的公司还是太少。很多公司拿开源的东西做些改进就说是自有知识产权的产品，真叫人汗颜！！！一个rtos的研究开发，如果不借鉴人家的研究成果，包括源代码，自己每一行代码都是自己写，我看10多个engineer都要做3年多，我看很多公司等不起吧。一个嵌入式os包括file

system，内存管理，网络协议（这块工作量尤其大），接口设计等。光是这些设计如果没有做os经验的人，我看都要摸索很久，更不要说完整实现一个os。我自己也做分组算法研究，说老实话国内在这方面做的不是很好，看看那些顶尖的研究论文就知道了，很多都是国外一流大学的，国内就不用说了，很多都是跟踪，就更不要说企业了，企业有多少人力和资源来作这方面的基础研究，毕竟艾泰不是cisco，不是juniper，不是huawei。我认为企业还是要务实一些。

以上是一些个人见解，如果有得罪，还请见谅！！

路由器和交换机设计促销活动本页内容本模块内容目标

适用范围如何使用本模块设计指南

设备定义类别

交换机类别

类别 1 – 低端固定交换机类别 2 – 低端可变交换机类别 3 – 中型交换机类别 4 – 高端交换机路由器

路由器类别

类别 1 – 软件路由器

类别 2 – 低端固定路由器类别 3 – 低端可变路由器类别 4 – 中型路由器类别 5 – 高端路由器类别 6 – ISP 路由器安全性

路由器安全性注意事项交换机安全性注意事项安全网络快照小结

其他信息本模块内容

本模块介绍了选择交换机和路由器的方法，并标识了这些设备中的可用功能，从而帮助

您选择所需的功能。交换机和路由器按每个类别的典型功能进行分组。通过这些类别，您应能确定组织所需的交换机和路由器类型。有许多可用的交换机和路由器类型，由于它们看起来功能相似，所以可能很难做出正确选择。本模块标识了突出的功能，并解释它们如何满足您的需求。此外，模块还涉及了路由器和交换机的安全性，并解释了如何确保路由器和交换机配置的安全性。

返回页首目标

使用本模块可以实现：

•帮助组织选择适当的交换机和路由器。 •标识路由器和交换机的关键安全因素。 •保护路由器和交换机配置。返回页首

适用范围

本模块适用于下列技术：

•以太网交换机

•以太网和 Internet 协议 (IP) 路由器

返回页首

如何使用本模块

本模块可帮助您选择最适合组织的交换机和路由器。它提供了所需交换机和路由器功能的核对表，并解释了每个功能的作用。可以使用此核对表确定需要哪些功能。然后，模块根据每个组具有的功能将交换机和路由器分组。单一的交换机或路由器无法满足组织的需求，通过将您的需求与这些类别相比较，可以确定用于每个位置的最佳产品。

返回页首设计指南

本节描述企业网络中的路由器和交换机需求、可满足这些需求的设备类型以及可用于设备部署的选件。路由器和交换机是网络中的两个关键组件，正确选择这些关键设备可以确保网络提供快速可靠的服务和适应不断变化的需要。

设计输入

当设计交换机和路由器的实现时，需要输入下列内容： •网络体系结构 •路由协议 •可用性

网络体系结构

在确定需要哪类路由器或交换机、这些设备彼此之间如何放置以及需要何种功能之前，应对网络进行设计。下面是选择路由器和交换机类别之前必需的网络设计信息：

1.网络中当前有多少设备？有多少设备需要连接？预计将来有多大的增长？

2.哪些设备要与其他设备进行通信？

3.需要通信的不同设备之间需要多少带宽？

4.在网络设计中，什么地方需要交换机（和路由器）？

5.是否需要虚拟局域网 (VLAN)？如果需要的话，需要多少？在每个 VLAN 上有哪些主机？是否将在 VLAN

之间执行路由？

6.可接受的滞后时间是多少？网络设计

组织结构有很多种，围绕它们设计网络体系结构的方法也有多种。但是，有两种常用模型可作为您的设计基础。它们是可在总部使用的多级交换体系结构和在小的分支机构使用的体系结构。

图 1

显示了通常在具有公共网站层和后端数据库层的地方使用的多级体系结构的示例。从网络的公共端开始，向内移动，第一部分是边界网络，此部分网络有提供初始防火墙功能的面向

Internet

的边界路由器。后面紧跟的交换机将路由器与外围防火墙链接在一起，并提供了更强大的防火墙。外围防火墙反过来通过交换机连接到外围网络中的

Web 服务器，Web 服务器通过另一个交换机连接到内部防火墙。然后，内部防火墙通过交换机连接到后端网络中的内部服务器和用户

PC。此图显示的是逻辑设计，但在物理上，所有交换机都可以是同一交换机上的单独 VLAN。由于边界属于非安全地区，所以边界交换机最好是单独的设备。后端交换机也可以是多个交换机，这取决于您偏爱一个大型交换机还是多个小型交换机。

图 1

多级交换体系结构图 2

显示了适合于在小分支机构使用的体系结构。它由三个网络设备组成：调制解调器、路由器和交换机。根据网络连接情况，这三个设备可以组合成两个设备或一个设备。低成本路由器通常包含一个以太网交换机和一个防火墙功能，对于宽带连接，也可将调制解调器集成在路由器中。

图 2

小型分支机构体系结构路由协议

在设计网络时，必须决定路由信息的交换使用哪种路由协议。路由器需要路由表来指出如何到达目标网络。路由表可以手动配置为静态路由，但是这些仅适用于小型网络。替代方法是使用路由协议，由此通过自动发现其他网络来构建路由表。如果链接失败，则失败的链接自动从路由表中删除，因此路由器始终清楚目标网络的最佳活动路由。

下表描述了网络中使用的两大工业标准路由协议 RIP 和 OSPF 以及一个特殊协议 BGP。

•路由信息协议 (RIP)

RIP 用于在中小型互联网络中交换路由信息，被广泛用于各种路由器。 RIP

的最大好处是非常容易配置，但也有一些主要缺点：无法处理大型网络，生成大量网络数据流，对网络故障的响应速度慢（聚合时间长）。出于这些原因，通常只将它用于小型局域网

(LAN)。有关 RIP

的详细信息，请参考：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_rras-ch3_03.asp（英文）。

•开放式最短路径优先 (OSPF)

OSPF 是工业标准路由协议，它的效率非常高，并且可以很好地扩展到大型网络OSPF 的优点是它产生的网络开销很少（即使在很大的互联网络中），且对链接失败的响应速

度非常快。OSPF

的主要缺点是它的复杂性、更难于配置和管理。

大多数企业网络如今都将 OSPF 作为路由协议，因为它比 RIP 的效率更高。它通常在大中型路由器上使用，有时也在较小的路由器上使用。有关 OSPF 的详细信息，请参考：

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_rras-ch3_04.asp（英文）。

•边界网关协议 (BGP)

是在连接到 Internet 的路由器上使用的外部网关路由协议，可提供路由可用性和负载平衡能力。通常 BGP

只可以在大型路由器上使用，您应该与 Internet 服务提供商 (ISP) 讨论其配置。可用性

网络需要高可用性，网络越大，所需的可用性越高。有许多方法可以配置和查找路由器和交换机，以满足这些可用性需求。包括重复组件（如网络设备中的电源和引擎）和重复设备本身。后者会大大增加成本，但是可以提供完全的复原解决方案。

返回页首

设备定义

本节定义了下列类型的网络设备： •交换机

•路由器

这些设备处于将所有局域网 (LAN) 和广域网 (WAN) 网段链接在一起的网络的核心。交换机

交换机用来将网络的物理网段链接在一起，并允许数据在这些网段之间移动。交换机工作在 OSI 模型的第 2 层，根据第 2

层地址（例如以太网 MAC 地址）指导数据流。某些交换机还提供其他功能，例如 VLAN 和第 3 层交换。

交换机自动进行自身配置。它们侦听每个以太网端口的数据流，发现每个连接设备连接到哪一个端口。然后，交换机直接向目标端口发送数据流。除非需要激活其他功能，否则，交换机不需要配置，这是安装网络时的一个主要优点。交换过程是在线路速度非常高且没有滞后时间的硬件中执行的。

最初，交换机将网段与多个设备链接，但是随着交换机价格的下降，每个端口连接一个设备已非常普遍。这称为“交换”以太网而不是“共享”以太网。一个端口使用一个活动设备不会产生冲突，所以提高了网络性能，且设备可以完全双向运行，以达到更高的吞吐量。

网络数据流包括广播消息，这些消息必须复制到对大型网络有重要影响的每个端口。由于大多数用户想要与有限的一组服务器和关联设备进行通信，所以，可以只在该组中发送所有广播数据流。减少广播数据流的一个方法是为每个组提供一个交换机，然后将它们一同链接到一个路由器，因为路由器不传输广播。另一个方法是在交换机上使用

VLAN。VLAN 是一组设备，这些设备实际位于许多不同的物理 LAN 网段，但被配置为像连接到同一条线上那样进行通信。来自 VLAN

一个成员的广播只发送给同一 VLAN 的其他成员，因此降低了广播数据流的传播。路由器

路由器在 OSI 模型的第 3 层工作。它们在两个不同的 IP 网络（可以是 LAN 或 WAN）之间传递数据流。路由过程的基础是，检查传入数据的目标 IP 地址并通过基于路由表的外出端口发送数据。路由表可以手动配置，也可以使用路由协

议发现，但是与交换机不同，路由器始终需要一些配置。

大型交换机还可以包括路由器（此路由器通常在一个嵌入卡上）。这通常被描述为第 3 层交换，但作用等同于路由。

返回页首类别路由器和交换机都已分类，目的是标识不同级别的可用设备和所提供的功能。如果路由器或交换机符合某一特定类别，它可以支持链接到此类设备的所有功能。

路由器和交换机的所有类别都由一些核心功能组成。除可升级性、灵活性和适应性，路由器或交换机的处理能力也是特别重要的指标。低端交换机和路由器通常针对特定任务设计，为了降低成本，几乎没有扩展能力或只有有限的扩展能力。提高类别，不仅可以获得更强的功能，还可以获得更大的扩展能力。最高类别还提供了复原能力。

选择正确的交换机或路由器是件难事，因为每个制造商都大量宣传自己的产品功能最多、速度最快且最便宜。为了评估产品，您必须鉴别功能和优点。功能是产品具有能力或可执行的操作，但如果它对您非常有用，就会变成优点。例如，在交换机彼此相连的大型数据中心，连接到光缆（而不只是铜线）的能力是一个优点。但是，对于只有一个交换机的小办公室，此功能毫无用途。

在选择交换机或路由器之前，应该对网络进行设计，然后对设备进行评估，以满足该设计。可能有多个合适的设计，因此应对不同的体系结构进行评估。采购价格如果是重要的指标，就应将运行成本包括在内，因为低成本设备的运行成本可能会很高。

对于大型组织而言，一项重大的设计决策是：是在中心站点容纳多个小型交换机，还是使用几个大型交换机。首选设计是使用几个大型交换机，但是这在某种程度上依赖于中心站点办公室的物理布局。许多小型交换机会导致不易管理问题，而较大的交换机可能需要

VLAN 且配置更复杂。交换机和路由器的常见功能

下面是交换机和路由器的最常见功能。并对每个功能进行了解释和评估。当您浏览此列表时，请检查每个功能是否与您的组织相关。例如，大多数公司拥有大的总部和许多小的远程办公室。大型办公室可能更需要诸如复原能力和伸缩性之类的功能，而对于小型但很多的办公室而言，可能更需要低成本。

此列表显示了所需的交换机和路由器的常见功能，并在其后显示了每个交换机或路由器的特有功能。

•可伸缩性

扩展以太网端口数量通常非常有用（尤其对于用户和服务器数量可能增长的大型站点中的交换机）。不要安装无法应付后续增长的交换机，因为它终将抛弃或被其他交换机替换。交换机应是：

•带有一组以太网端口的固定配置

•可以添加额外卡以获得更多端口的可变配置。 •完全可升级，通常基于空的机架和良好的可扩展性。

路由器的扩展也是必需的，但其增长可能没有交换机那样大。路由器中最经常更改的是 WAN 链接，这是因为 WAN

技术已经变化（例如从 ISDN 到 ADSL）或实现了其他 WAN 链接。

扩展能力始终是必需的，但也要考虑成本，对于分支机构，固定配置交换机/路由器可能是最有效的产品。

•高速以太网支持

现在以太网的常规速度是 100Mbps，而不是原来的

10Mbps。千兆以太网的成本大幅降低，但它的使用通常限制在服务器和主干链接，因为 PC 卡的价格仍然昂贵。10Gbps

以太网也开始出现，随着成本下降，很有可能取代千兆以太网来用于最重要的主干链接。所有交换机和路由器都应该支持 100Mbps

以太网，但是通常只有中高范围的模型支持更高的速度。

•复原能力

交换机或路由器的组件出现故障时，会发生什么情况？整个单元是否会崩溃？是否有冗余设计以保证它可以继续运行？更高级别交换机和路由器可能包括重复的组件（如电源、引擎和交换机光纤），所以故障不会影响正常操作。在带有许多连接的大型设备中，这是非常必要的功能。但是，在较小的交换机或路由器（例如小型远程办公室中的交换机或路由器）中，额外的成本可能并不有效。作为替代方法，是否可以并行运行两个交换机或路由器（一个工作而另一个处于热备用状态），以便在发生严重故障时接替工作？是否有可以自动处理此切换的机制？

•可管理性

交换机不需要任何配置即可开始工作，它通过侦听以太网框架传输和推断出每个设备的端口位置来了解网络拓扑。所有交换机都执行此功能，但是如果进行其他配置和监视，则需要访问交换机。低端交换机没有配置选项，但是随着功能集的增加，需要进行配置以充分利用这些功能。

路由器始终需要配置，以定义端口 IP 地址和用于构建路由表的方法。需要通过网络的远程访问来配置和管理这些设备。这可以极大降低管理成本，因为不需要接触这些设备即可解决问题。另外，可以通过网络管理软件监视这些设备，并自动报告错误。

•IP 电话 (VoIP)

IP 电话是通过局部以太网和

WAN（有可能）传送语音对话的功能。因为语音与数据一起共享以太网电缆，而不必使用单独的电话电缆网络，所以最直接的好处是减少了电缆铺设，但将来的好处是增加了人员和设备布置的灵活性。传统的旧

PBX 通常由基于标准 PC 平台的 IP PBX（而不是专用硬件）替换。对于拥有现有电话网的数据中心，在短期内不需要 VoIP，但随着组织的扩充或业务的发展，将来会需要 VoIP。适于处理

VoIP 的交换机和路由器应该有两个功能：

•支持 IEEE 802.1p 标准服务质量 (QoS)

此功能允许交换机划分数据与语音之间的数据流优先级，以便语音流在数据流之前发送。

•支持 IEEE 802.3af 标准 IP 电话线路供电 (inline power) 功能

通过此功能，交换机可以提供通过以太网第 5 类 UTP 电缆提供低电压电源，来为 IP 电话供电。

•安全性

安全性日益成为所有网络组件中非常重要的要求。本模块后面将详细讨论安全性的实现，但是进行交换机和路由器评估时，应牢记安全性，以查看是否有任何特殊的功能可以使安全性更易于实现。

应考虑两方面安全性。首先，存在设备可能限制的网络带来的安全入侵。其次，存在针对设备本身的安全入侵。第一类入侵可能特定于设备，可能包括设备本身。设备（主要是路由器）是否有防火墙功能？第二类入侵是要对设备配置进行访问的攻击。要避免后一种入侵，

是否可以实现其他控制以限制具有配置访问权的人？

低成本交换机通常不能配置，它们也没有 IP

地址，所以相对而言，它们可以免受网络产生的攻击。大型交换机和路由器通常有复杂的访问控制机制，它们还可以进行配置以限制入侵。中型交换机和路由器最可能受到攻击，但是如果使用好的防火墙系统，则可以避免外部入侵。

设备是否支持 VLAN 通过限制用户对相关服务器的访问来提高安全性？ •支持

来自制造商的支持在大型网络中非常重要。此支持通常取决于您的付出。低成本设备通常只有电子邮件支持，没有保证的响应时间支持。设备越昂贵，可能越复杂，并且您可能需要支持合同。如果从同一制造商采购所有交换机和路由器，则可以减少在您遇到问题时制造商彼此推卸责任所产生的设备间扯皮问题。

•产品范围和制造商生存能力

对于每一类交换机或路由器，都可能有一些制造商，他们可提供该类的最佳设备，但是可能无法提供其他类的设备。例如，对于小型办公室级别，有许多制造商可提供物美价廉的产品，但其中大多数制造商不生产适用于大型企业的产品。还应该考虑制造商的资历和出现问题时他们提供的服务级别，因为许多小制造商在经历激烈竞争后可能无法再生存下去。 •成本

不可避免的，采购成本是设备选择中的主要因素，但是还应该包括运行成本。交换机通常按每端口价格进行分类。衡量方法是：获取交换机的总成本，用它除以以太网端口数，然后获得每个端口的单独成本。此衡量方法只应用来比较同一类别中的交换机，因为它不考虑提高类别所获得的其他功能。例如，简单的交换机可能有最优惠的每端口价格，但是功能也最少。路由器没有相同的成本比较方法，但是应该对它们的路由性能和灵活性进行衡量。您可能愿意选择每一类中最具竞争力的价格。但是，操作和维护的成本（例如用配置每个制造商设备的不同方法培训员工的成本）也必须考虑在内。

•性能

对路由器或交换机处理能力或性能的评估要比对 CPU 能力可用作起始点的计算机评估更复杂。路由器或交换机通常基于制造商自己的专用硬件，虽然有 CPU，但它不提供总体能力的准确指示。交换机性能通常以每秒位数 (bps) 和每秒包数 (pps)

测量，而路由器性能通常只以 pps

测量。路由器和交换机制造商通常不透露他们的设备性能。另外，性能的测量也没有工业标准，所以很难进行直接比较。小型路由器的制造商也趋向于不透露性能参数。

交换机的特定功能

本节着重描述必需的交换机特定功能。 •生成树协议

生成树协议用于计算交换机之间的最佳路径（当网络中存在多个交换机和多个路径时）。只有使用此协议，才能避免数据同时通过多个路径发送而导致数据重复。在大型网络中，交换机必须支持此协议，而在小型交换机中，此协议通常不可用。

•VLAN 支持

VLAN 用于将网络划分为具有类似通信需求的计算机组，因此降低了网络数据流量。VLAN

支持可以在任何大小的网络上使用，但是在安装了一些特大型交换机的情况下，特别需要。低成本交换机通常不支持 VLAN。VLAN

支持对小型网络而言并不重要，但对大型网络非常重要。

•上行链路连接性

上行链路用于将网络中的交换机连接在一起。虽然所有交换机都可以通过普通以太网链接进行连接，但交换机的类别越高，使用用于交换机-交换机连接的中继协议所支持的链接速度越高。

•合并

在交换机中合并其他功能可以降低成本和提高可管理性。例如，用于小分支机构的低成本交换机还可以包括路由器和防火墙，甚至可以包括宽带调制解调器。除了降低成本，它还简化了管理，因为只有一个物理单元。高端交换机还可以集成路由器模块（称为第

层交换）以及其他功能（如负载平衡和防火墙）。此外，这通常提高了网络的可管理性。此合并可能导致复原能力下降，因为整体失败会使所有合并的服务停止工作，应该慎重考虑。

返回页首交换机类别

本节定义交换机的若干类别。类别不是很严格，您会发现，由于升级选件的原因，制造商的某一特定型号可能属于多个类别，而此制造商的两个不同型号可能属于同一类别。本节中涉及的交换机类别是：

•类别 1 – 低端固定交换机 •类别 2 – 低端可变交换机

•类别 3 – 中型交换机 •类别 4 – 高端交换机

返回页首

类别 1 – 低端固定交换机

低端交换机的功能和扩展能力有限，且没有容错能力。此类交换机设计成具有固定数量的以太网端口（通常为 4 到 24

个），考虑到连接性限制，它们的有限性能通常可以满足需要。

此类交换机价格便宜，但是它们缺乏可升级性和灵活性。以太网连接内置在硬件中，因此设备的功能（例如端口数）不能随需求的变化而更改。低端交换机是为单独操作设计的，不与其他交换机一起协调数据流。它们可能不支持诸如生成树协议、远程管理、高速上行链路和

VLAN 之类的功能。使用特殊端口或以太网交叉电缆，通常支持以标准以太网速度连接到其他交换机的上行链路。交换机功能还可以与路由器组合。

通常这些交换机是为小型办公室、大型组织的分支机构和家庭用户设计的。管理能力的缺乏对于小的企业或家庭用户可能没有太大影响，但对于组织的分支机构，它成为严重的缺陷。表

1 汇总了第 1 类交换机的功能。

表 1：类别 1 – 低端固定交换机典型功能

不需要配置或配置不可用没有扩展能力

可能不支持生成树协议不支持 VLAN 不能远程管理

有限的制造商支持

不支持 VoIP

成本 – 低优点

低端固定交换机的优点包括： •价格合理：

由于这些设备物理构造和功能集合简单，且有许多制造商激烈竞争，所以这些设备通常价格低廉。如果它们的缺点可以忽略，它们的每端口价格在所有交换机类别中是最优惠的。

•配置方便：

这些设备通常没有配置选项，很容易安装，交换机发现其环境并自己进行配置。在远程站点上安装时，没有配置选项是一个优点，因为这可以使它免受篡改。

缺点

低端固定交换机的缺点包括：

•不可升级：

由于低成本构造，当需要更多以太网端口时，这些设备通常不能升级。

•没有配置和可管理性：

这些设备没有可配置选项，没有可以启用管理和监视的配置程序。通常，这些设备安装在没有本地技术支持的小型远程站点中，所以缺乏监视能力可能是严重的缺陷。缺乏可配置性的另一结果是，交换机不支持生成树协议或

VLAN，这意味着对于大型中央企业网络，此类交换机不是首选。

•支持有限：

通常，此类路由器的支持比较有限，它们多是通过 Web 站点、FAQ

和电子邮件联系，没有任何服务等级担保。因为竞争激烈，此类产品的生命周期很短，很多型号常常由于对过时型号的支持减少，而最终离开竞争舞台。产品保证仅限于更换，但却并不保证在特定时期有效。如果在保修期后设备出现故障，对其进行修理则不太经济。由于设备简单且成本低廉，这样的支持等级可被认为足够了。

返回页首

类别 2 – 低端可变交换机

低端可变交换机除了提供与低端固定交换机类似的功能之外，还具有可升级硬件以支持需求的变化。通常，这些交换机允许增加以太网端口数量（具有比固定交换机更多的端口），提供更灵活的向上链路能力（通常是千兆以太网），支持生成树协议。通常，由于必须支持更多的端口，它们提供比固定交换机更高的以太网吞吐流量。它们也比低端固定交换机昂贵，因为它们可以升级，且通常具有远程管理能力和

VLAN

支持。可堆栈固定配置交换机可以视为同一类别，提供相同的技术功能但支持扩展（扩展的方法是将新交换机堆栈在现有交换机上，使用高速总线将它们连接以便它们像一个交换机那样工作）。请注意，术语“可堆栈”没有标准定义。某些制造商的本意可能是指交换机可以于物理上放置在另一交换机的上面，但是对于此类别，假设在两个交换机之间有高速总线且将这些交换机像一个交换机那样进行管理。

在预计需求将有增长或低端固定交换机不能提供足够端口的情况下，可以使用低端可变交换机。这包括建筑物、部门、远程分支机构或小型组织的基础。初始成本高于低端固定交换机，但是长期看来，不必抛弃交换机即可适应需求的增长，从而降低了成本。由于低端可变交换机通常比低端固定交换机具有更多的潜在连接性，所以适合较大型办公室的需要。表

2 汇总了第 2 类交换机的功能。表 2：类别 2 – 低端可变交换机

典型功能

以太网端口可升级性向上链路端口灵活性

可升级到比第 1 类交换机更多的以太网端口生成树协议

可配置性、可管理性和远程访问缺乏 VoIP 支持 VLAN 支持

成本 – 从低到高优点

低端可变交换机的优点包括： •价格合理：

这些设备的每端口成本比第 1 类交换机高。但是，它们提供更好的管理功能和扩展能力，与更高类别的交换机比较，并不昂贵。

•可升级性：

这些设备有很多增加以太网端口数量的方法，可以在基本单元上添加其他端口，也可以通过将其他基本单元直接连接到内部总线来附加到现有基本单元。用于连接到其他交换机的上行链路端口可以适合各种连接性媒体，包括千兆以太网、光纤或铜线。

•可配置：这些交换机具有配置生成树协议和 VLAN 的能力。因此，这些设备适于企业网络中使用。这些交换机还支持远程管理和监视。

缺点

低端可变交换机的缺点包括： •可升级性不灵活：

这些设备通常只能提供有限的以太网端口数量的增长、以及上行链路端口功能的有限更改。添加另一堆栈单元将会使端口数大量增加（即使只需要一些其他端口）。通常，没有用于添加其他功能（如第

3 层交换）的选项。 •缺乏 VoIP 支持：虽然当前可能不需要 VoIP，但是如果组织升级了电话网络，则必须具有 VoIP 支持。 •几乎没有复原能力或复原能力有限：

通常，这些交换机几乎没有复原能力；如果可用，唯一的复原功能可能是冗余电源。返回页首

类别 3 – 中型交换机

与第 2

类交换机相比，中型交换机提供更多的功能、更高的端口密度和扩展能力。它们还具有更高级别的管理能力、冗余和复原能力。通常，这些交换机是带有端口卡插件的模块机架，而不是固定机架。不同大小的机架提供不同数量的插槽。这些交换机通常包括多个热交换冗余电源，而复原功能包括处理切换到备用交换机的协议。它们还提供第二个引擎，这是在第一个交换机出现故障的情况下提供复原能力的交换机的处理器单元。

这些交换机可用来在中型组织、较大型分支机构提供核心交换，或用来聚合与更大型交换机相连的大型组织的若干分部。此类路由器在 WAN 和

LAN 连接方面灵活性很高且功能可不断更新。因为可以根据技术发展而升级，生命周期往往较长。表 3 汇总了第 3 类交换机的功能。

表 3：类别 3 – 中型交换机典型功能

带有不同大小机架的机架系统单元冗余电源

高以太网端口密度

可变上行链路端口

可配置性、可管理性和远程访问生成树协议 VLAN 支持 VoIP 支持第 3 层交换冗余电源冗余引擎成本 – 高

优点

中型交换机的优点包括：

•成本效率：

虽然基本中型交换机单元的价格高于低端交换机，随着端口数的增长，每端口价格会大幅下降。较大的机架单元更能体现这一点。

•配置简单：

这些设备具有更复杂的需要配置的功能（如

VLAN）。此类交换机除了提供传统命令行方法之外，通常还提供基于浏览器的图形界面进行配置。相同的工具还可以用来对活动进行远程管理和监视。

•可管理性：

由于软件工具经过了改进且硬件进行了特别设计，此类交换机可以提供更高的可管理性功能。

•复原能力：

随着交换机端口容量的增长，复原能力越来越重要，此类交换机可以提供可选冗余电源和引擎。

•伸缩性和长生存周期：由于这些交换机以机架为基础，所以所有连接性选件都是插件卡。这意味着：在需求发生变化或新技术变得很便宜时，单元可以很轻松地升级。这还可以延长交换机的寿命，而较低类别的交换机可能不得不被抛弃。

缺点

中型交换机的缺点包括： •成本较高：

虽然这些设备由于端口密度较高而变得更具成本效率（尤其对于大尺寸的机架），但是这些设备的基本成本比较低类别高。 •配置复杂：

由于这些设备有更多的选件，所以配置更复杂（虽然图形配置工具可以减轻复杂程度）。返回页首

类别 4 – 高端交换机

高端交换机提供高性能、高可用性、增加的扩展能力以及极高的容错能力。硬件设计特别灵活，提供了多个连接性选件及其他选件（如多个电源和处理器），以及使系统复原能力

很高的其他功能。

对高速协议（例如用于链接到其他网络设备的异步传输模式 (ATM)）给予了更多的关注。这些交换机在支持不同的硬件媒体（包括铜线和可选光纤）方面提供多功能性，具有处理多个千兆以太网链接的能力。此类交换机还可以包含路由器模块，使这些交换机也可以像路由器那样工作。此功能对于链接

VLAN 非常有用。表 4 汇总了第 4 类交换机的功能。表 4：类别 4 – 高端交换机典型功能

机架系统单元冗余电源

高以太网端口密度可变上行链路端口

10 GB 以太网支持

可配置性、可管理性和远程访问生成树协议 VLAN 支持 VoIP 支持第 3 层交换第 4-7 层交换安全功能冗余电源

冗余引擎成本 – 高优点

高端交换机的优点包括：

•成本效率：

与第 3 类交换机相比，此类交换机的基本单元价格很高。但是，随着单元的扩展和端口密度的提高，每端口成本大幅下降。

•可管理性：

像第 3 交换机一样，由于软件工具经过改进且硬件工具进行了特殊设计，此类交换机提供了更高的可管理性功能。

•复原能力：

随着交换机端口容量的增长，复原能力变得越来越重要。此类交换机提供高级的复原能力，包括冗余和热交换电源、冗余引擎和冗余交换机光纤。

•伸缩性和长生存周期：

由于这些交换机以机架为基础，所以所有连接性选件都是插件卡。这意味着：在需求发生变化或新技术变得很便宜时，单元可以很轻松地升级。这还可以延长交换机的寿命，而较低类别的交换机可能不得不被抛弃。

•安全性：

此类交换机通常提供高安全性功能，以保护网络免受入侵。 •第 3-7 层交换：

此类交换机将第 3 层交换（路由）作为选件提供。它还提供其他高级功能，例如第 4-7 层交换、负载平衡和防火墙。将这些功能作为内置服务可以降低成本（与外部单元相比）和提高性能。

缺点

高端交换机的缺点包括： •初始成本高：

这些基于机架的单元初始成本非常高，因为它包含了组件（如机架、引擎和电源）的成本。当机架的端口较少时，每端口成本特别高。但是，随着端口密度的增加，每端口价格将下降。

•配置复杂：

提供其他功能不可避免地增加了交换机配置的复杂性。需要技术熟练的工程师对属于此类的交换机进行配置。

返回页首路由器

网络中可能需要很多不同类别的路由器来执行不同的任务。例如，面向 Internet 的边界路由器、连接 VLAN

的内部路由器和小型办公室路由器。

路由器功能

本节重点描述了所需的各种路由器特定功能。

•路由协议

对于校园路由器而言，可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是 RIP

和 OSPF，但 RIP 并不适合大型网络。 •WAN 链接和协议的范围

希望在 WAN

链接中使用哪些协议，将来又要使用哪些协议？选中高端路由器，以支持各种高速链接和协议，即使目前不需要它们。小型分支机构可能有拨号、ISDN

或宽带连接，低端路由器可支持这些连接方式。尽管宽带是目前分支机构结构的最佳选择，但宽带并非处处可得，拨号或 ISDN 可能是偏远地区的唯一解决方案。

•网络地址转换 (NAT) 网络地址转换 (NAT) 用在面向 Internet 的路由器中，其作用是将一个 Internet

唯一地址转换为多个专用网络地址。这意味着，多个设备可共享一个 Internet 地址，由于其他 Internet

用户无法直接访问专用地址，从而提供了一定的安全性。在通过 Internet

连接的小型机构的路由器以及大型站点中的边界路由器上都应使用这种机制。 •动态主机配置协议 (DHCP)

DHCP 用于向 PC 自动发布 IP 地址，用户无需手动配置这些 PC 的地址。这便简化了 PC 设置，因为通过配置 PC

使用 DHCP，这些 PC

在接通电源并连接网络时便自动获得一个地址。此外，该协议还适用于位于不同位置的便携式计算机，这些计算机将自动接收自己相应位置的

IP 地址。在中心站点，DHCP 服务在运行 Microsoft(R) Windows(R) 2000 操作系统或 Microsoft(R) Windows Server™ 2003 的服务器上运行。小型机构可能没有服务器，因此发布

DHCP 地址对路由器有一定的要求。 •防火墙

路由器可提供防火墙功能，这在所有面向 Internet

的路由器（如分支机构路由器或在大型站点中的边界路由器）中非常有用。尽管大型站点应尽量使用全范围路由器，但边界路由器位于防火墙之外，需要自我保护。

•虚拟路由器冗余协议（VRRP 协议）

在大型站点中，可能安装了重复的网络设备以供故障防范，其中一个是主设备，另一个是热备用设备（仅在主设备发生故障时激活）。VRRP

协议运行于路由器之间的链接中，每个路由器都了解其他路由器是否运行正常，当链接出现故障时，活动设备可作出反应。 •虚拟专用网 (VPN)

VPN 为 Internet

连接提供保密性和安全性。它通过公共服务提供一条专用线路，主要作用是将家庭个人用户或小型分支机构连接到中心站点。设置 VPN

链接有各种不同的方法，包括在客户端 PC 启动进程（在这种情况下路由器并不清楚 VPN

连接的相关信息）。当然，路由器还可以使用不涉及用户的路由器到路由器的 VPN 直接链接来配置，这正是小型分支机构的要求。

返回页首路由器类别

与交换机类别类似，系统已定义多个类别。根据可用选件，产品可归入一个以上的类别。本节将讨论下列路由器类别：

•类别 1 – 软件路由器

•类别 •类别 •类别 •类别

2 3 4 5 – – – –

低端固定路由器低端可变路由器中型路由器高端路由器

•类别 6 – ISP 路由器返回页首

类别 1 – 软件路由器

软件路由器是装有标准操作系统和软件功能的计算机系统，它可在 LAN 与 WAN 之间提供路由功能。这种计算机系统可提供标准的计算机功能，路由功能在后台执行。通常，这些路由器为家庭用户或小型企业的少量计算机提供共享的

Internet

访问。由于其路由功能在后台完成（并非设备的主要功能），因此性能受到一定限制。此外，此类路由器的性能还取决于前台活动。复原能力受限于计算机的复原能力。由于计算机一般是工作站，特别要求用户不要关闭计算机。升级能力和灵活度不高，因为软件支持的

WAN 协议集有限。此类软件路由器的一个例子是 Internet 连接共享 (ICS)，它可用在 Windows 98、Windows

ME、Windows 2000、Windows 2003 和 Windows XP 等操作系统中。

如果本地用户数量不大，对 WAN 访问的要求也不高，则可以使用软件路由器。鉴于很多家庭用户要求通过单一电话线来访问

Internet，因此软件路由器在家庭中的应用日益增加。随着使用率的日益提高，一旦此类路由器无法满足要求，便可以安装下一类路由器，即专用硬件路由器。表

5 汇总了第 1 类路由器的功能。表 5：类别 1 – 软件路由器

典型功能

仅适用于软件配置简单

内置网络地址转换 (NAT) 没有路由协议

不受限于操作系统，成本低廉优点

软件路由器的优点包括： •成本低廉：

除调制解调器之外，此类路由器不需要其他附加硬件单元。随操作系统一起提供，或通过很低的成本即可获得。成本低廉是其主要优势，但缺少功能与性能的缺点又使优势变得模糊。

•配置简单：

通常，完成配置过程仅需打开路由功能。此外，NAT 也将与动态主机配置协议 (DHCP) 一同打开，后者会为内部网络中的每台计算机自动提供专用地址。缺点

软件路由器的缺点包括： •性能不稳定：

路由功能取决于单个计算机的处理能力，这台计算机一般还要同时处理其他任务；因此性能受到了限制且不稳定。此类路由器主要用于偶尔的

Internet 访问，而不是连续的 Internet 访问。虽然足以应对独立模式下的一台计算机，但随着其他计算机的接入或

Internet 使用率的增加，性能将不断下降。 •配置选项有限：

由于没有可用的路由协议，配置选项几乎被忽略，可提供的仅是基本的防火墙功能。

•无复原能力：

复原能力受限于路由器软件所在的计算机的复原能力；通常，这意味着根本没有复原能力。因此，路由软件特别容易接受像关闭计算机这样的用户操作。返回页首

类别 2 – 低端固定路由器

低端固定路由器的性能、功能和扩展能力一般比较有限，且不提供容错功能。此类路由器的作用是将数据从以太网 LAN 发送到 WAN。WAN

连接一般仅限于拨号调制解调器、ISDN、X25

链接、宽带或电缆调制解调器。此类路由器一般有内置的集线器或交换机（其中还包括到配备有无线卡的计算机的无线连接），可能还有简单的防火墙。

WAN 连接内置于路由器硬件，在用户要求发生变化时无法更改。此类路由器成本不高，当然作为代价，升级能力也比较差。

这些路由器没有复原能力，但却是专用设备，并可始终保持打开。由于此类路由器成本不高，可以再安装一台来提供冗余度。此类路由器仅提供 RIP

和 OSPF 等有限的路由协议，但一般拥有 NAT 功能，允许 LAN 中的多个内部用户通过一个地址访问 Internet。

由于硬件专用于路由功能，同一时间不会有其他功能运行，因此性能受到一定的限制，但要优于第 1 类设备。

此类路由器用于小型办公室、在家访问 Internet 的通信者、或连接至分层网络结构中

较大机构的小型分支机构。ISDN

在这里扮演着重要的角色，因为它只在需要传输数据时才进行连接。这样，成本高昂的 WAN

链接便得到了高效经济的利用。随着此类路由器的成本不断下降，这一类路由器将进入家庭，但其中最受欢迎的仅限于 ISDN 或宽带

Internet 连接。表 6 汇总了第 2 类路由器的功能。表 6：类别 2 – 低端固定路由器典型功能

有限的 WAN 协议无硬件升级能力

RIP 路由协议，或者 OSPF 性能有限

配置通常比较简单无容错功能

内置交换机或集线器内置防火墙内置 NAT/DHCP 有限的制造商支持成本 — 低

优点

低端可变路由器的优点包括：

•价格合理：

此类路由器的价格不高，原因之一是性能和功能有限，之二是这类路由器的竞争比较激烈。此类路由器还包括集线器（或交换机）和防火墙，因此是小型网络路由器的超值选择。

•配置简单：此类路由器在选择方面比较有限。为提高竞争力，路由器的配置通常比较简单，一般通过浏览器或图形界面即可完成。

•WAN 连接范围：

尽管低成本路由器大多仅限于 ISDN 或 ADSL WAN 连接，但此类路由器的其他成员还有 X25 和 Frame

Relay，尽管成本相对较高。WAN 链接必须在选购路由器时选定，如果需求发生变化，WAN 链接无法更改。

•内置功能：此类路由器提供了 NAT 和 DHCP 来向连接的计算机自动提供地址。当然，此类路由器还可以提供 4 端口或 8 端口的集线器或交换机。随着目前防火墙的日益普遍使用，此类路由器还包括基本的防火墙。内置无线交换机也越来越受到欢迎。

缺点

低端固定路由器的缺点包括：

•升级能力有限：

此类路由器不可升级硬件，但通常可升级固件。在购买设备时，需要选择 WAN 连接、以太网端口数和内置交换机，但购买之后不能更改这些选件。然而，由于初始成本低廉，如果日后这些产品不能满足需求，您可以轻松抛弃这些产品。

•性能有限：

此类路由器的性能有限。制造商一般不会透露吞吐量指数，但一般而言适合大约 8 个用户，具体数目取决于用户活动。

•支持有限：

通常，此类路由器的支持比较有限，它们多是通过 Web 站点、FAQ

和电子邮件提供支持，没有任何服务等级担保。因为竞争激烈，此类产品的生命周期很短，很多型号常常由于对过时型号的支持减少，而最终离开竞争舞台。产品保证仅限于更换，但却并不保证在特定时期有效。如果设备在保修期后出现故障，对其进行修理则不太经济。由于设备简单且成本低廉，这样的支持等级可被认为足够了。

•可管理性和功能有限：

此类路由器是针对简单网络设计的，故可管理性功能有限。如果将其应用于企业网络的远程站点，这一点便成为劣势。此类路由器的路由选项也有限，而且没有企业用户必需的功能，如

OSPF 路由协议。 •无复原能力：此类路由器没有复原能力。返回页首

类别 3 – 低端可变路由器

低端可变路由器提供的功能类似于低端固定路由器。但前者的硬件可以升级，允许根据组织需求的变化而更新设备。通常，此类路由器支持不同类型的

WAN 连接或多个 WAN

端口，而且在有内置以太网集线器或交换机的情况下，支持连接其他本地设备。由于支持最大限度的端口扩展而无需升级处理器，此类路由器的性能通常优于固定路由器。因为可以升级，此类路由器与低端固定路由器相比价格更高。与低端固定路由器一样，此类路由器提供的路由协议也很有限。

此类路由器常常用在预计需求将有增长的小型或分支机构中。尽管初始成本比固定路由器高，但因为可以通过设备升级来满足日后的需求增长，因此不必更换路由器，从长远观点来看，更加经济有效。由于低端可变路由器的功能常比低端固定路由器强大，因此适合更大型的办公室。表

7 汇总了第 3 类路由器的功能。表 7：类别 3 – 低端可变路由器

典型功能可以升级

WAN 连接范围广泛 RIP 和 OSPF 路由协议 VLAN 支持 VoIP 支持无容错功能

内置交换机或集线器内置防火墙内置 NAT/DHCP 成本 – 从低到高

优点

低端可变路由器的优点包括： •价格合理：

尽管比第 2 类路由器的价格高，但仍算成本低廉。功能更多、性能更好、具备升级能力，这些都是其价格稍高的原因。

•配置简单：

一般用在简单网络中，并提供图形配置工具。如要需要更复杂的配置，可使用命令行系统。

•高级功能集：

此类路由器提供了 OSPF、VoIP、防火墙和 NAT 等高级功能，因此可在企业网络中用作组件。

•可升级性：

此类路由器提供了范围广泛的 WAN

连接选件。如果购买之后需求变化，还可以升级这些选件。可以升级内存以提高性能，还可以升级操作系统以引入其他功能。

缺点

低端可变路由器的缺点包括：

•性能有限：

尽管制造商不会透露路由器的性能参数，但此类路由器确实存在性能限制，它们主要用于小型办公室或小型部门（取决于这些机构或部门的位置和 WAN 数据流）。

•配置选项有限：

尽管此类路由器的功能集的确不错，但与更高类别的路由器相比仍有不足。 •伸缩性不高：

WAN 连接一般可升级（虽然数量可能有限），但 LAN 端口数却无法升级。 •无复原能力：

此类路由器的复原功能很弱或根本没有。返回页首

类别 4 – 中型路由器

相对于第 3 类路由器，中型路由器提供了更多的电源和硬件扩展功能。这一类路由器提供了多个 LAN 端口和 WAN

端口，以太网连接（包括千兆以太网、光纤和铜缆连接）速度更快。如果要连接其他网络设备（如路由器或交换机）而非个人计算机，还支持其他协议（尤其对于主干连接）。此类路由器一般用于在家办公者的个人计算机或小型

Internet 服务提供商使用模拟调制解调器或 ISDN 进行的拨号连接。通常，此类路由器还支持 VoIP，允许通过同一电缆同时传输声音和数据。

尽管中型路由器提供的内置硬件复原能力有限（或根本没有），但它使用双路由器（主路由器 +

备用路由器）和各种协议确保了在发生故障时迅速切换，从而提供一种替代的复原方法。此类路由器可以用作中型组织或大型分支机构的核心路由器，或用于聚合与大型路由器相连的大型组织的若干分部。远程通信者常使用拨号功能直接连接组织，而不是通过 Internet。此类路由器在 WAN 和 LAN 连接方面灵活性很高且功能可不断增加。因为可以根据技术发展而升级，生命周期往往较长。表

8 汇总了第 4 类路由器的功能。表 8：类别 4 – 中型路由器典型功能

可以升级

WAN 连接范围广泛性能 >40kpps

RIP 和 OSPF 路由协议 VLAN 支持 VoIP 支持无容错功能内置防火墙

VRRP 还原协议内置 NAT/DHCP VPN 支持成本 – 从低到高优点

中型路由器的优点包括：

•性能：

此类路由器的吞吐指数不低于 40 kbps，是适用于大型分支机构或中型组织的中等性能路由器。

•扩展性和伸缩性：

此类路由器拥有相当强大的扩展功能，并支持端口数量的增加和范围广泛的连接类型。

•完整功能集：

此类路由器一般拥有完整的功能集，其中包括各种 WAN 连接、路由协议、NAT、DHCP、防火墙、VLANs、VoIP 和 VPN。缺点

中型路由器的缺点包括：

•复原能力差：

尽管此类高端路由器可能配有冗余电源，但它一般没有内置复原能力。但此类设备应使用备用路由器提供复原能力，从而支持像 VRRP 这样的冗余路由协议。 •性能和伸缩性差：

此类设备一般不具备作为大型企业核心路由器所要求的功能或连接性。返回页首

类别 5 – 高端路由器

高端路由器提供了高性能、增强的扩展性和卓越的容错性与可用性。在此类路由器中，硬件设计非常灵活，并与第 4

类路由器一样提供了多个连接选件，以及多电源、多处理器等其他选件，并提供了可提高设备复原能力的功能。

对于这一类路由器，重点在于通过 ATM 和 SONET 等高速协议来链接其他网络设备，并在各站点之间传输大量数据。较小的路由器或交换机则侧重于工作站连接。此类路由器的用途极其广泛，并支持大量

WAN 与 LAN 协议，以及铜缆和光纤等各种硬件介质。表 9 汇总了第 5 类路由器的功能。

表 9：类别 5 – 高端路由器典型功能

基于机架的单元 WAN 连接范围广泛性能 >900 kpps

RIP 和 OSPF 路由协议 VLAN 支持 VoIP 支持冗余电源冗余引擎内置防火墙 VRRP 还原协议内置 NAT/DHCP VPN 支持成本 – 高优点

高端路由器的优点包括： •性能：

此类别路由器的吞吐指标不低于 900 kbps，远高于第 4 类路由器的吞吐指数；因此，此类路由器适合用作 WAN

网关或大中型组织核心路由器等的高性能路由器。

•扩展性和伸缩性：

作为基于机架的设备，第 5 类路由器具备相当强大的扩展功能，支持大量端口和范围广泛的连接类型。

•完整功能集：

此类路由器一般拥有完整的功能集，其中包括各种 WAN 连接、路由协议、NAT、DHCP、防火墙、VLANs、VoIP 和

VPN。

•复原能力：

此类设备有内置的复原选件，例如冗余热交换电源和冗余引擎。此外，还支持 VRRP 等冗余路由协议，其中备用路由器负责监视主路由器，并可在主路由器出现故障时进行接管。

缺点

高端路由器的缺点是成本高。因为此类设备有一定的升级能力和复原能力，因此初始价格的确不菲，但随着机架被装备起来，每个端口的价格也随之下降。返回页首

类别 6 – ISP 路由器

ISP 路由器主要供 Internet 主干上的 ISP

使用。此类设备还可用在企业中提供最佳性能。此类路由器性能卓越、可用性高、具复原能力，并可处理成百上千的 Internet 用户高速连接至

Internet 主干。表 10 汇总了第 5 类路由器的功能。

表 10：类别 5 – 高端路由器典型功能

基于机架的设备 WAN 连接范围广泛 LAN 连接范围广泛

性能达数百万 pps 强大的扩展能力冗余电源冗余引擎

成本 – 非常高优点

ISP 路由器的优点包括：

•高性能：

此类路由器主要用于超大型企业、ISP 主干或其他边缘应用。设备提供的性能极高。 •伸缩性：

此类路由器是基于机架的设备，可进行大范围升级。通常，一个机架最多支持 16 个插槽，而每个叶片则支持多个连接。

•支持的 WAN/LAN 协议广泛：

此类路由器支持几乎所有的相关协议，包括 OC 192 等很多高速 WAN 协议。缺点

此类路由器的缺点是成本不菲且配置复杂。

返回页首安全性

在网络设计中，安全性非常重要。设计者既要控制来自 Internet

的外部入侵，又要控制有内部网络访问权限的内部员工或其他人员发动内部入侵。应注意保护的主要领域有四个：

•控制通过交换机或路由器入侵 •控制对交换机或路由器入侵

•控制交换机或路由器的管理员访问权限 •路由器和交换机的物理保护

交换机和路由器是通过网络传输数据包的，它们也是滤除入侵企图的第一道防线。背后则是有高级过滤功能的防火墙。这种过滤还应阻止对网络设备本身的攻击。大多数交换机和路由器都可重新配置，因此必须实行严格的控制，进而限制拥有管理权限的人员。大多数路由器和交换机都存在一些后门访问方法，它们能避开逻辑安全设置，因此应将这些设备物理锁定以防止这种入侵。

大多数路由器都有自身特定的且广为人知的漏洞，请务必访问制造商网站，从而获得与这些漏洞及应对方法相关的详细资料。

返回页首

路由器安全性注意事项

路由器是第一道防线，同时也是第一道攻击线。路由器提供了数据包路由，并可通过配置以阻止或滤除已知的易于受到攻击或被恶意利用的数据包类型的转发，例如

ICMP 或简单网络管理协议

(SNMP)。应使用路由器来阻止网络之间未经授权或不需要的数据流。此外，还必须通过使用安全管理接口并确保它应用了最新的软件修补程序和更新，来来确保路由器本身免遭重新配置。

如果没有路由器的控制权，您在保护网络方面无能为力，除了询问 ISP 了解路由器中配备的防御机制的相关信息。

如果遇到路由器安全问题，可以使用下列配置类别： •修补程序和更新

•协议 •管理访问 •服务

•审核和日志 •入侵检测

修补程序和更新

订阅网络硬件制造商提供的警报服务可以了解最新的安全问题和服务修补程序。当发现漏洞（不可避免）时，优秀的供应商将迅速开发有效的修补程序，并通过电子邮件或自己的 Web 站点发布这些更新。在生产环境中实施这些更新之前必须对更新进行测试。

协议

拒绝服务攻击经常利用协议级的漏洞。例如，淹没 (flooding) 网络。要对付此类攻击，您应：

•使用出入过滤

•将 ICMP 数据流从内部网络中屏蔽 •阻止跟踪路由 •控制广播数据流

•阻止其他不必要的数据流使用出入过滤

高水平的攻击者常发出欺骗性数据包来进行探测、攻击或执行其他操作。路由器根据目标地址传送数据包，这一过程常忽略源地址，而实际中源地址很可能不是数据包作者的源地址。具有内部地址的传入数据包常代表了入侵企图或探测，因此应拒绝此类数据包进入外围网络。同样，请对路由器加以设置，使之仅传送包含有效内部

地址的传出数据包。验证传出数据包不能保证您免受拒绝服务攻击的威胁，但可以确保此类攻击不会始自您所在的网络。如果其他网络也应用了同样的传出数据验证，您的网络即可免受拒绝服务攻击的威胁。

这种过滤机制还可轻易跟踪始作俑者的真实源地址，因为攻击者不得不使用有效合法且可连接的源地址。有关详细信息，请参阅“Network

Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing”，其位于：http://www.rfc-editor.org/rfc/rfc2267.txt（英文）。将 ICMP 数据流从内部网络中屏蔽

ICMP 是一种无状态协议。它位于 IP 顶端，允许在两个主机之间验证主机的可用性信息。常用的 ICMP 消息参见表 11。

表 11：常用的 ICMP 消息消息说明

回应请求 (Ping)确定网络中是否存在可用的 IP 节点（主机或路由器）回应答复（Ping 答复）答复 ICMP 回应请求无法到达目标通知主机无法传递数据包

源抑制通知主机降低发送数据包的频率（因为拥塞）重定向通知主机首选路线

超时表示 IP 数据包的生存时间 (TTL) 已到

阻止外围路由器中的 ICMP 数据流可以保护您免受级联 Ping flood 和其他拒绝服务攻击的威胁。由于存在其他 ICMP

漏洞，阻止此协议势在必行。虽然 ICMP 回应请求（或

Ping）可用于故障排除，但也可用于发现网络中的设备并映射其体系结构，因此应忽略该请求，除非存在合理的理由保留它。Ping 操作还可用于

Ping 已遭到拒绝的服务，因此最好也阻止此类 Ping 操作。阻止跟踪路由跟踪路由是一种收集网络拓扑信息的方法。该方法可检测到达目标系统的设备。如果要确定数据是否沿最佳路线传递，此方法非常有用。对于不同的制造商，实施方法各不相同；一些制造商使用有不同生存时间

(TTL) 值的 Ping 操作，另一些制造商则使用 UDP 数据包。如上文所述，可变 Ping 操作可通过阻止 ICMP

消息来控制，而 UDP 数据包则需要 ACL 才可阻止。通过阻止此类数据包，可以防止攻击者获得网络的详细资料。

控制广播数据流

定向的广播数据流可用于枚举网络中的主机，并用作拒绝服务攻击的载体。例如，通过阻止特定的源地址，可以防止恶意回应请求引发级联 Ping

flood。应滤除的源地址参见表 12。

表 12：应滤除的源地址源地址说明

0.0.0.0/8历史广播 10.0.0.0/8RFC 1918 专用网 127.0.0.0/8环回

169.254.0.0/16链接本地网络（APIPA 地址） 172.16.0.0/12RFC 1918 专用网 192.0.2.0/24TEST-NET

192.168.0.0/16RFC 1918 专用网 224.0.0.0/4D 类多播 240.0.0.0/5E 类保留 248.0.0.0/5尚未分配 255.255.255.255/32广播阻止其他不必要的数据流

从 Internet 进入边界路由器的传入数据流来自未知的不受信任的用户，这些用户要求访问您的 Web 服务器。这些用户可访问一组特定的

IP 地址和端口号，并被限制无法访问其他端口号或 IP

地址。使用访问控制列表（大多数路由器都提供）以后，只有特定地址与端口组合的数据流可以通过边界路由器，假定任意其他地址都存在威胁。

注意：本例中的端口号与交换机上的端口（以太网电缆所插入的物理插槽）没有关联。这里，参考对象是 IP 地址系统（其中 IP 地址使用

TCP 或 UDP 端口号进行扩展）。例如，Web 服务器一般位于端口 80：IP 地址是 192.168.0.1 的服务器上的 Web

服务的完整地址是 192.168.0.1:80。

Cisco 路由器和交换机使用专用协议（CDP：Cisco Discovery

Protocol）来发现邻近设备的相关信息，例如型号和操作系统修订等级。但是，此协议安全性能薄弱，恶意用户常能获得同样的信息，因此应在边界路由器中绝对禁用

CDP，可能还需根据管理软件的要求在内部路由器和交换机中禁用该协议。

管理访问

路由器的管理工作将在什么位置执行？您必须确定管理工作要连接的接口和端口，以及执行管理的源网络或源主机。对这些特定位置的访问必须加以限制。不要保留任何未加密或无对抗措施的面向

Internet 的管理接口可用，以防止非法攻击。此外还需：

•应用强密码策略

•使用管理访问控制系统 •禁用未使用的接口 •考虑静态路由 •关闭基于 Web 的配置 •服务 •审核和日志 •入侵检测

•控制物理访问

应用强密码策略

首先添加管理员密码（很多系统受攻入的原因仅仅是因为管理员不用密码）。然后，考虑使用复杂的密码。强大的密码软件不仅能启动字典攻击，还可发现密码中用数字替代字母的一般情况。例如，如果使用“p4ssw0rd”密码，软件可破解此密码。创建密码时一定要混合使用大写字母、小写字母、数字和符号。同样地，出于管理的目的，可能还必须有SNMP。尽管

SNMP 安全性算不上强大，但配置之后确实能添加密码 (团体字符串)。SNMP V3 的安全性能已大大改进。

使用管理访问控制系统

不要采用将管理员名称嵌入配置这种做法，而是使用 AAA 系统对管理员身份进行验证。这可以控制管理员的真实身份及可执行的操作，并记录执行过的操作。AAA 是指：

•Authentication（身份验证）：

对用户进行确定和身份验证的过程。可以使用多种方法验证用户，最常用的是使用用户名和密码组合。

•Authorization（授权）：

确定经过验证后的用户可以访问的内容和执行的操作的过程。 •Accounting（记录）：记录用户在某设备上正在执行的操作和已经执行的操作。当管理员初次登录时，AAA

系统将使用位于中央服务器上的数据库验证该管理员，同时在管理员连接会话期间控制其试图完成的操作。AAA

系统的主要优点之一是安全信息的集中化，您仅需登录一次即可控制对所有网络设备的访问，从而无需在每个设备中分别设置登录。非专用 AAA 系统有两种：

•RADIUS（Remote Authentication Dial-in User Service，远程身份验证拨入用户服务）

•Kerberos

另一种非常流行的 AAA 系统是 TACACS+，但该系统是 Cisco 专用系统，仅可控制 Cisco 设备的访问。

禁用未使用的接口

在路由器中，只有必需的接口才应启用。未使用的接口是无法被监视或控制的，它们可能未更新。因此，您可能会在这些接口上受到未知的攻击。通常，系统使用

Telnet 管理访问。因此，限制 Telnet 的可用会话数并设置一定的超时，可确保会话在未用状态超过一定时间后被关闭。

考虑静态路由

静态路由可防止专门的数据包更改路由器中的路由表。攻击者可能试图模拟路由协议消息来更改路由，从而引发拒绝服务或向薄弱的服务器转发请求。通过使用静态路由，更改路由必须通过管理接口的允许。但请注意，静态路由是静态的，如果连接失败，路由器不会自动切换到备用路由器，而且静态路由的配置过程非常复杂。

关闭基于 Web 的配置

如果可以选择内置 Web 服务器来配置访问，以及可以使用命令行模式，则请禁用 Web 服务，因为该服务可能易于受到许多 TCP/IP 安全薄弱环节的影响。

服务

在已部署的路由器中，每个已打开的端口都与一个侦听服务相关联。为了降低攻击的可能性，必须关闭不必要的默认服务。例如，bootps 和

Finger 服务就很少使用。此外，还应扫描路由器来检测都打开了哪些端口。审核和日志

大多数路由器都有日志功能。日志功能可记录所有被拒绝的有入侵企图的操作。目前的路由器都有多种日志功能，其中包括根据已记录的数据设置严重性。为了定期检查日志以明确入侵和探测的种种迹象，应建立一定的审核计划。

入侵检测

在路由器中设置了各种防范 TCP/IP 攻击的限制之后，路由器应该能够确定攻击发生时间，然后通知系统管理员发生的攻击。

攻击者一般都很了解安全优先级，其攻击策略都是围绕这些优先级展开的。入侵检测系统 (IDS) 可显示攻击者企图攻击的位置。

控制物理访问如上文所述，由于路由器通常都存在后门访问方法，如果攻击者能物理访问这些设备来覆盖现有配置，则大多数路由器都易受攻击。因此，请将这些路由器锁在固定的房间中，并赋予受限的访问权限。

返回页首

交换机安全性注意事项

与路由器类似，您必须确保交换机本身不被重新配置。必须使用安全管理接口，确保交换机已应用了最新的软件修补程序和更新，控制管理访问权限，并提供物理安全性。

与路由器相比，交换机的安全性常被忽视，因为前者是面向 Internet

的第一道防线。但以下位置中的这一文档非常有用：

http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_paper09186a008014870f.shtml（英文）。

此文档讨论了一些已知的交换机漏洞及其应对方法。

为路由器定义的许多安全概念同样适用于交换机。例如，控制谁具有管理权限。由于交换机只是检查以太网框架（而非 IP

数据包），因此无法控制捉摸不定的 IP 入侵。但交换机始终在防火墙或有防火墙功能的路由器的背后，故这一要求并不必要。

下列配置类别可帮助您确保安全的交换机配置： •修补程序和更新 •VLAN

•使用管理访问控制系统 •禁用未使用的端口 •服务 •加密

修补程序和更新

必须及早安装和测试修补程序和更新。

VLAN

虚拟 LAN 可以分隔网段，然后根据安全规则应用访问控制。没有 ACL 的 VLAN 可提供第一级别的安全防线，它将限制同一 VLAN

成员的存取权。但实际上 VLAN 内部的数据流也是必需的，而这正由 IP 子网之间的路由器提供，并可通过 ACL 来控制。

各 VLAN 之间的 ACL

可限制不同网段之间的数据流。这种过滤一般是简单的静态数据包过滤，它不同于状态型数据包检查或应用层代理（用在很多专用防火墙设备中）。

使用 VLAN 之间的 ACL 可通过阻止来自企业内部的内部入侵（外部入侵已由边界网络阻止）提供直接的保护。除了防火墙过滤之外，VLAN

ACL 还可用于其他安全层。在 VLAN 中实施 ACL 的缺点在于，它们会对性能有所影响，而且需要正确有效的配置。

使用管理访问控制系统

使用与路由器相同的方法来控制交换机的管理访问。禁用未使用的端口

为了防止黑客接入未使用的端口，应禁用交换机中未使用的以太网端口。

服务

确保所有未使用的服务都已禁用。此外，确保禁用普通文件传输协议 (TFTP)，删除面向 Internet 的管理接口，并对 ACL

加以配置以限定管理权限。加密

尽管数据加密在交换机上很少使用，但在网络中加密数据的确能保证被窥探到的数据包在以下两种情况下毫无价值：即相同交换段中存在监视器；或交换机已受到损害，从而允许数据通过网段。

返回页首

安全网络快照表 13

提供了一种安全网络特征快照。这里的安全设置都归纳自业界安全专家和安全部署中的真实应用程序。在评估自己的解决方案时，您可以使用该快照作为参考。表 13：安全网络快照

组件特征路由器

修补程序和更新使用最新软件来修补路由器操作系统。协议阻止未使用的协议和端口。实施出入过滤。

将 ICMP 数据流从内部网络中屏蔽。

禁用跟踪路由。

不转发直接广播数据流。屏蔽庞大的 Ping 数据包。

在最外路由器中阻止路由信息协议 (RIP) 数据包（如果有）。使用静态路由。

管理访问强制执行强管理密码策略。使用管理访问控制系统

禁用路由器中未使用的管理接口。禁用基于 Web 的管理。

服务禁用未使用的服务（例如 bootps 和 Finger）。审核和日志为所有拒绝的数据流启用日志。对日志进行集中保存和保护。

审核日志，检查是否存在非正常模式。入侵检测设置 IDS 以确认和通知活动攻击。物理访问限制物理访问

交换机

修补程序和更新测试并安装最新的安全修补程序，减轻来自已知漏洞的危害。 VLAN使用 VLAN 和 ACL。

禁用未使用的端口禁用未使用的以太网端口。服务禁用未使用的服务。

加密加密交换数据流。其他

日志同步同步有日志功能的所有设备上的时钟。

对网络的管理访问使用 Kerberos 或 RADIUS 对管理用户进行身份验证。网络 ACL按一定模式建立网络结构，将 ACL 置于主机和网络中。返回页首

小结

本模块提供的相关信息和选项可帮助网络设计工程师选择满足企业网络体系结构要求的设备。本模块在如何正确选择设备方面概述了设备的设计过程。

本模块定义的设计过程包括选择正确的设备类别以满足所需的服务等级。此外，选择适当选件确保组织的网络成员支持该设备，且有一定的网络管理方案来管理该设备也都非常重要。本指南的目标是制定一套符合组织网络体系结

PCB

PCB就是印刷电路板（Printed circuit board，PCB）,简单的说就是置有集成电路和其他电子组件的薄板。

它几乎会出现在每一种电子设备当中。如果在某样设备中有电子零件，它们都是镶在大小各异的PCB上的。除了固定各种小零件外，PCB的主要功能是提供上头各项零件的相互电气连接。

随着电子设备越来越复杂，需要的零件自然越来越多，PCB上头的线路与零件也越来越密集了。裸板（上头没有零件）也常被称为\"印刷线路板Printed Wiring Board（PWB）\"。板子本身的基板是由绝缘隔热、并不易弯曲的材质所制作成。在表面可以看到的细小线路材料是铜箔，原本铜箔是覆盖在整个板子上的，而在制造过程中部份被蚀刻处理掉，留下来的部份就变成网状的细小线路了。这些线路被称作导线（conductor pattern）或称布线，并用来提供PCB上零件的电路连接。

通常PCB的颜色都是绿色或是棕色，这是阻焊漆（solder mask）的颜色。是绝缘的防护层，可以保护铜线，也可以防止零件被焊到不正确的地方。在阻焊层上还会印刷上一层丝网印刷面（silk screen）。通常在这上面会印上文字与符号（大多是白色的），以标示出各零件在板子上的位置。

板子本身的基板是由绝缘隔热、并不易弯曲的材质所制作成．在表面可以看到的细小线路材料是铜箔，原本铜箔是覆盖在整个板子上的，而在制造过程中部份被蚀刻处理掉，留下来的部份就变成网状的细小线路了．这些线路被称作导线（conductor pattern）或称布线，并用来提供PCB上零件的电路连接．

为了将零件固定在PCB上面，我们将它们的接脚直接焊在布线上．在最基本的PCB（单面板）上，零件都集中在其中一面，导线则都集中在另一面．这么一来我们就需要在板子上打洞，这样接脚才能穿过板子到另一面，所以零件的接脚是焊在另一面上的．因为如此，PCB的正反面分别被称为零件面（Component Side）与焊接面（Solder Side）．

如果PCB上头有某些零件，需要在制作完成后也可以拿掉或装回去，那么该零件安装时会用到插座（Socket）．由于插座是直接焊在板子上的，零件可以任意的拆装．

如果要将两块PCB相互连结，一般我们都会用到俗称「金手指」的边接头（edge connector）．金手指上包含了许多裸露的铜垫，这些铜垫事实上也是PCB布线的一部份．通常连接时，我们将其中一片PCB上的金手指插进另一片PCB上合适的插槽上（一般叫做扩充槽Slot）．在计算机中，像是显示卡，声卡或是其它类似的界面卡，都是借着金手指来与主机板连接的．

PCB上的绿色或是棕色，是阻焊漆（solder mask）的颜色．这层是绝缘的防护层，可以保护铜线，也可以防止零件被焊到不正确的地方．在阻焊层上另外会印刷上一层丝网印刷面（silk screen）．通常在这上面会印上文字与符号（大多是白色的），以标示出各零件在板子上的位置．丝网印刷面也被称作图标面（legend）．印刷电路板将零件与零件之间复杂的电路铜线，经过细致整齐的规划后，蚀刻在一块板子上，提供电子零组件在安装与互连时的主要支撑体，是所有电子产品不可或缺的基础零件。

印刷电路板以不导电材料所制成的平板，在此平板上通常都有设计预钻孔以安装芯片和其它电子组件。组件的孔有助于让预先定义在板面上印制之金属路径以电子方式连接起来，将电子组件的接脚穿过PCB后，再以导电性的金属焊条黏附在PCB上而形成电路。

依其应用领域PCB可分为单面板、双面板、四层板以上多层板及软板。一般而言，电子产品功能越复杂、回路距离越长、接点脚数越多，PCB所需层数亦越多，如高阶消费性电子、信息及通讯产品等；而软板主要应用于需要弯绕的产品中：如笔记型计算机、照相机、汽车仪表等。

先用Keil C编译生成HEX文件，用proteus导入此文件即可。前提是proteus中已画好系统电路图，设置正确后即可单步或者全速运行，进行实时模拟。尽管这样基本能够模拟一些系统的运行情况，但倘若楼主希望能有进一步的体会，建议自己动手在实验板上搭电路并调试。

PROTEL

PROTEL：PROTEL是PORTEL公司在80年代末推出的EDA软件，在电子行业的CAD软件中，它当之无愧地排在众多EDA软件的前面，是电子设计者的首选软件，它较早就在国内开始使用，在国内的普及率也最高，有些高校的电子专业还专门开设了课程来学习它，几乎所有的电子公司都要用到它，许多大公司在招聘电子设计人才时在其条件栏上常会写着要求会使用PROTEL。早期的PROTEL主要作为印制板自动布线工具使用，运行在DOS环境，对硬件的要求很低，在无硬盘286机的1M内存下就能运行，但它的功能也较少，只有电原理图绘制与印制板设计功能，其印制板自动布线的布通率也低，而现今的PROTEL已发展到PROTEL99（网络上可下载到它的测试板），是个庞大的EDA软件，完全安装有200多M，它工作在WINDOWS95环境下，是个完整的板级全方位电子设计系统，它包含了电原理图绘制、模拟电路与数字电路混合信号仿真、多层印制电路板设计（包含印制电路板自动布线）、可编程

逻辑器件设计、图表生成、电子表格生成、支持宏操作等功能，并具有Client/Server （客户/服务器）体系结构，同时还兼容一些其它设计软件的文件格式，如ORCAD，PSPICE，EXCEL等，其多层印制线路板的自动布线可实现高密度PCB的100％布通率。在国内PROTEL软件较易买到，有关PROTEL软件和使用说明的书也有很多，这为它的普及提供了基础。想更多地了解PROTEL的软件功能或者下载PROTEL99的试用版，可以在INTERNET上访问它的站点：HTTP://WWW.PROTEL.COM 2005年年底，Protel软件的原厂商Altium公司推出了Protel系列的最新高端版本Altium Designer 6.0。 Altium Designer 6.0，它是完全一体化电子产品开发系统的一个新版本，也是业界第一款也是唯一一种完整的板级设计解决方案。Altium Designer 是业界首例将设计流程、集成化PCB 设计、可编程器件（如FPGA）设计和基于处理器设计的嵌入式软件开发功能整合在一起的产品，一种同时进行PCB和FPGA设计以及嵌入式设计的解决方案，具有将设计方案从概念转变为最终成品所需的全部功能。

这款最新高端版本Altium Designer 6.除了全面继承包括99SE，Protel2004在内的先前一系列版本的功能和优点以外，还增加了许多改进和很多高端功能。Altium Designer 6.0拓宽了板级设计的传统界限，全面集成了FPGA设计功能和SOPC设计实现功能，从而允许工程师能将系统设计中的FPGA与PCB设计以及嵌入式设计集成在一起。

首先：在PCB部分，除了Protel2004中的多通道复制；实时的、阻抗控制布线功能；SitusTM自动布线器等新功能以外，Altium Designer 6.0还着重在：差分对布线，FPGA器件差分对管脚的动态分配， PCB和FPGA之间的全面集成，从而实现了自动引脚优化和非凡的布线效果。还有PCB文件切片，PCB多个器件集体操作，在PCB文件中支持多国语言（中文、英文、德文、法文、日文）,任意字体和大小的汉字字符输入，光标跟随在线信息显示功能，光标点可选器件列表，复杂BGA器件的多层自动扇出，提供了对高密度封装（如BGA）的交互布线功能, 总线布线功能，器件精确移动，快速铺铜等功能。

交互式编辑、出错查询、布线和可视化功能，从而能更快地实现电路板布局,支持高速电路设计，具有成熟的布线后信号完整性分析工具. Altium Designer 6.0 对差分信号提供系统范围内的支持，可对高速内连的差分信号对进行充分定义、管理和交互式布线。支持包括对在FPGA项目内部定义的LVDS信号的物理设计进行自动映射。 LVDS 是差分信号最通用的标准，广泛应用于可编程器件。Altium Designer 可充分利用当今FPGA 器件上的扩展I/O管脚。

其次，在原理图部分，新增加“灵巧粘帖”可以将一些不同的对象拷贝到原理图当中，比如一些网络标号，一页图纸的BOM表，都可以拷贝粘帖到原理图当中。原理图文件切片，多个器件集体操作，文本筐的直接编辑，箭头的添加，器件精确移动，总线走线，自动网标选择等！强大的前端将多层次、多通道的原理图输入、VHDL开发和功能仿真、布线前后的信号完整性分析功能。在信号仿真部分，提供完善的混合信号仿真,在对XSPICE 标准的支持之外，还支持对Pspice模型和电路的仿真。对

FPGA设计提供了丰富的IP内核，包括各种处理器、存储器、外设、接口、以及虚拟仪器。

第三在嵌入式设计部分，增强了JTAG器件的实时显示功能，增强型基于FPGA的逻辑分析仪，可以支持32位或64位的信号输入。除了现有的多种处理器内核外，还增强了对更多的32位微处理器的支持，可以使嵌入式软件设计在软处理器，FPGA内部嵌入的硬处理器，分立处理器之间无缝的迁移。使用了Wishbone 开放总线连接器允许在FPGA上实现的逻辑模块可以透明的连接到各种处理器上。Altium Designer 6.0支持 Xilinx MicroBlaze，TSK3000 等32位软处理器，PowerPC 405 硬核，并且支持AMCC 405和Sharp BlueStreak ARM7 系列分立的处理器。对每一种处理器都提供完备的开发调试工具。

引入了以FPGA为目标的虚拟仪器，当其与 LiveDesign-enabled硬件平台NanoBoard结合时，用户可以快速、交互地实现和调试基于FPGA的设计，可以更换各种FPGA子板,支持更多的FPGA器件，例如 Cyclone II,Stratix II ,

ProASIC3,Virtex-4,MAX II等系列器件，提供了各个厂家近百种类型的FPGA子板，包括几十款FPGA+MCU（CPU）+RAM+SDRAM的子板。在器件库方面支持基于ODBC和ADO的数据库，可以使用OrCAD的器件库。完全兼容

Protel98/Protel99/Protel99se/ProtelDXP，并提供对Protel99se下创建的DDB和库文件导入功能，还增加了P-CAD,OrCAD PADS PCB等软件的设计文件和库的导入, AutoCAD和其它软件的文件导入和导出功能。完整的ODB++ / Gerber CAM-系统使得用户可以重新设计原有有的设计，弥补设计和制造之间的差异. Altium

Designer 6.0以强大的设计输入功能为特点，在FPGA和板级设计中，同时支持原理图输入和HDL硬件描述输入模式；同时支持基于VHDL的设计仿真，混合信号电路仿真、布局前/后信号完整性分析.Altium Designer 6.0的布局布线采用完全规则驱动模式，并且在PCB布线中采用了无网格的SitusTM拓扑逻辑自动布线功能；同时，将完整的CAM输出功能的编辑结合在一起。

Altium Designer 6.0 是两年之内的第六次更新，极大地增强了对高密板设计的支持，可用于高速数字信号设计，提供大量新功能和改进，改善了对复杂多层板卡的管理和导航，可将器件放置在PCB板的正反两面，处理高密度封装技术，如高密度引脚数量的球型网格阵列 (BGAs)。

Altium Designer 6.0中的Board Insight™ 系统把设计师的鼠标变成了交互式的数据挖掘工具。 Board Insight 集成了“警示”显示功能，可毫不费力地浏览和编辑设计中叠放的对象。工程师可以专注于其目前的编辑任务，也可以完全进入目标区域内的任何其他对象，这增加了在密集、多层设计环境中的编辑速度。

Altium Designer 6.0 引入了强大的„逃逸布线‟引擎，尝试将每个定义的焊盘通过布线刚好引到BGA边界，这令对密集BGA类型封装的布线变的非常简单。显著的节省了设计时间，设计师无需手动就可以完成在一大堆焊盘间将线连接这些器件的内部管脚。

Altium Designer 6.0极大减少了带有大量管脚的器件封装在高密度板卡上设计的时间，简化了复杂板卡的设计导航功能，设计师可以有效处理高速差分信号，尤其对大规模可编程器件上的大量LVDS资源。

Altium Designer 6.0 充分利用可得到的板卡空间和现代封装技术，以更有效的设计流程和更低的制造成本缩短上市时间。

proteus

【1】Proteus(海神)的ISIS是一款Labcenter出品的电路分析实物仿真系统，可仿真各种电路和IC，并支持单片机，元件库齐全，使用方便，是不可多得的专业的单片机软件仿真系统。该软件的特点：

① 全部满足我们提出的单片机软件仿真系统的标准，并在同类产品中具有明显的优势。

②具有模拟电路仿真、数字电路仿真、单片机及其外围电路组成的系统的仿真、RS一232动态仿真、1 C调试器、SPI调试器、键盘和LCD系统仿真的功能；有各种虚拟仪器，如示波器、逻辑分析仪、信号发生器等。③ 目前支持的单片机类型有：68000系列、8051系列、AVR系列、PIC12系列、PIC16系列、PIC18系列、Z80系列、HC11系列以及各种外围芯片。④ 支持大量的存储器和外围芯片。总之该软件是一款集单片机和SPICE分析于一身的仿真软件，功能极其强大，可仿真51、AVR、PIC。

【2】海卫八，海王星的一颗卫星。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

全部栏目

超级终端