计算机网络中的路由器,家用的路由器是一个概念么?

谢希仁编写的计算机网络一书中提到了路由器的概念,和家里用的wifi的路由器是同一个概念么?或者两者有什么区别?
 
两者有共同的交集,即都有三层路由功能,除此之外,完全没有交集。一个企业办公网络,为了让用户上网,要有AP(Access Point)提供无线上网功能。但是光有AP还不行,还需要有交换机(Switch),而且还得PoE(Power Over Ethernet)交换机。AP通过上联口(Uplink Trunk)连接交换机,通过交换机的PoE端口给AP供电。
 
公司网络规模变大时,公司网络里可能会有几百台、甚至几千台AP。如果一台台来管理这些AP,管理工作量非常巨大。所以还会买AP Controller(AC),用于管理这些AP。买一台AC还不行,还需要冗余,所以需要买多台。
 
用户上网需要先认证身份,通常采用WPA2 Enterprise的认证方式,那么意味着还需要购买认证服务器RadiusServer。以及购买用于存储用户、电脑账户的AD域控制器。
 
通常还会买防火墙充当用户网关,毕竟防火墙也具有三层路由功能。当用户访问外网时,防火墙充当NAT设备,提供内网与Internet的地址转换功能,也做流量的访问策略管理。
 
看到目前为止,一个大型的企业网并不需要路由器。但是企业网却需要三层路由(Routing)功能的硬件设备,而目前市场上能提供三层路由功能的硬件设备主要有:
 
  • 路由器
  • 三层交换机
  • 防火墙
 
 
路由器
路由器的强项毫无疑问是路由能力,包括对各种路由协议的支持,比如OSPF/BGP/ISIS/MP-BGP以及策略路由(Policy Routing),以及各种信令协议如OSPF-TE,ISIS-TE、RSVP-TE、LDP,这些协议可以用来搭建MPLS VPN以及Segment Routing。
 
一句话概括,如果用户的网络需求,只有路由器可以完成,其它的设备都无法替代的时候,路由器就闪亮登场了。而在企业网里,几乎可以使用三层交换机和防火墙来代替路由器,以提供不同VLAN之间的路由能力。既然三层交换机与防火墙都可以替代路由器的功能,为何在企业网往往选用防火墙来代替路由器呢?
 
防火墙
企业网络不仅仅需要三层路由,更需要防护墙过滤功能。三层交换机也有简单的ACL过滤功能,但是与专业的防火墙的过滤功能相比,就是小巫见大巫了。
 
比如一个VLAN只有几个用户ID允许访问访问外网,三层交换机有成熟的安全过滤策略吗?
 
没有。
 
而专业防火墙,可以与AD域交互,根据User ID,或者GroupID,获得用户实时IP,从而生成Dynamic ACL。
 
当用户流量到来时,Dynamic ACL允许的IP,可以访问外网。而没有匹配到的用户流量,则拒绝访问外网。
 
由于对用户的流量过滤策略千奇百怪,这些安全过滤策略不是路由器、三层交换机的ACL所能胜任的,所以在这种场合下,必须购买专业的防火墙。
 
三层交换机
三层交换机最大的亮点是端口密度高、转发性能好,对于网络安全要求不是那么高的企业网,通常也可以使用三层交换机提供VLAN之间的三层路由能力。
 
家庭网络只要一台无线路由器 + 一个光猫 + 一条线路就可以上网了。而企业网却需要 AP + AC + PoE Switch + Firewall + DHCP Server。
 
换句话说,一个家庭无线路由器,集成了AP、Switch、Router、Firewall(NAT)、DHCP Server的功能。
 
题主问题里的路由器,广义的概念是具有三层路由功能的硬件设备。狭义可以理解为路由器,即可以提供专业路由能力的路由器。话说,家庭无线路由器肯定没有BGP、ISIS这些路由协议的吧?
 
专业路由器,现在大多都处于运营商的网络,比如PE、P设备。在企业网络里大多位于核心网,提供不同国家、不同地区之间的办公场所的路由能力。虽然SDN的慢慢普及,现在越来越多的网络使用具有SD-WAN能力的路由器。这些路由器与传统路由器最大的不同,SD-WAN路由器需要一个控制器,SD-WAN路由器需要与控制器建立一个安全加密的隧道,控制器通过这个安全的加密隧道,将路由表推送给SD-WAN路由器。然后SD-WAN路由器就可以根据路由表的指示来转发IP报文。
 
传统的路由器则是自力更生,完全依靠自己与相邻的路由器,建立邻居关系。建立好之后与邻居交换路由表,然后按照路由表的指示来转发流量。
 
目前的家庭无线局域网,插上网线就可以直接使用了。所有的配置出厂之前都完成了。提供最最简单的路由能力。
 
  • 上行(Upstream), LAN – > WAN 的流量由 0.0.0.0/0来控制,并生成转发表
  • 下行(Downstream), WAN – > LAN的流量有转发表控制。
如果没有上行流量曾经触发建立转发表,意味着转发表为空,那么WAN – > LAN的流量将全部被丢弃
 
家庭无线路由器,只是提供最最基础的路由能力,而且是不不对称路由。WAN – > LAN方向只有转发表有条目,才具有转发能力,否则没有路由能力。
 
专业路由器,提供强大的路由功能,且接口之间的路由能力是对称的,除非采用ACL予以过滤。

发表评论

登录后才能评论
联系杨振
联系杨振
侵权联系 投诉举报
分享本页
返回顶部