【正文】 數(shù)據(jù)從一個(gè)子網(wǎng)傳輸?shù)搅硪粋€(gè)子網(wǎng)時(shí)，可通過路由器來完成。它不關(guān)心各子網(wǎng)使用的硬件設(shè)備，但要求運(yùn)行與網(wǎng)絡(luò)層協(xié)議相一致的軟件。一般說來，異種網(wǎng)絡(luò)互聯(lián)與多個(gè)子網(wǎng)互聯(lián)都應(yīng)采用路由器來完成。由此可見，選擇最佳路徑的策略即路由算法是路由器的關(guān)鍵所在。路徑表中保存著子網(wǎng)的標(biāo)志信息、網(wǎng)上路由器的個(gè)數(shù)和下一個(gè)路由器的名字等內(nèi)容。1．靜態(tài)路徑表 　　由系統(tǒng)管理員事先設(shè)置好固定的路徑表稱之為靜態(tài)（static）路徑表，一般是在系統(tǒng)安裝時(shí)就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的，它不會(huì)隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變。路由器根據(jù)路由選擇協(xié)議（Routing Protocol）提供的功能，自動(dòng)學(xué)習(xí)和記憶網(wǎng)絡(luò)運(yùn)行情況，在需要時(shí)自動(dòng)計(jì)算數(shù)據(jù)傳輸?shù)淖罴崖窂健＃?）選擇最合理的路由，引導(dǎo)通信。如果到特定的節(jié)點(diǎn)有一條以上路徑，則基于預(yù)先確定的準(zhǔn)則選擇最優(yōu)（最經(jīng)濟(jì)）的路徑。網(wǎng)絡(luò)中的每個(gè)路由器按照這一規(guī)則動(dòng)態(tài)地更新它所保持的路由表，以便保持有效的路由信息。（4）多協(xié)議的路由器可以連接使用不同通信協(xié)議的網(wǎng)絡(luò)段，作為不同通信協(xié)議網(wǎng)絡(luò)段通信連接的平臺(tái)。后一個(gè)功能是通過網(wǎng)絡(luò)地址分解完成的。分層尋址允許路由器對(duì)有很多個(gè)節(jié)點(diǎn)站的網(wǎng)絡(luò)存儲(chǔ)尋址信息。盡管在不斷改進(jìn)的各種路由協(xié)議中，對(duì)這兩類路由器所使用的名稱可能有很大的差別，但所發(fā)揮的作用卻是一樣的。同時(shí)根據(jù)當(dāng)前的路由表所保持的路由信息情況，選擇最好的路徑傳送報(bào)文。它從外部廣域網(wǎng)收集向本企業(yè)網(wǎng)絡(luò)尋址的信息，轉(zhuǎn)發(fā)到企業(yè)網(wǎng)絡(luò)中有關(guān)的網(wǎng)絡(luò)段；另一方面集中企業(yè)網(wǎng)絡(luò)中各個(gè)LAN段向外部廣域網(wǎng)發(fā)送的報(bào)文，對(duì)相關(guān)的報(bào)文確定最好的傳輸路徑。 NetEngine 5000 系列核心路由器 面向IP網(wǎng)國(guó)家骨干網(wǎng)絡(luò)節(jié)點(diǎn)、各省的網(wǎng)絡(luò)出口節(jié)點(diǎn)以及各網(wǎng)絡(luò)之間互聯(lián)中心節(jié)點(diǎn)的核心路由器產(chǎn)品。u 采用高性能的組件，可以在所有接口上為IP/MPLS業(yè)務(wù)提供線速轉(zhuǎn)發(fā)性能；整機(jī)交換容量400Gbps/，無阻塞交換；整機(jī)轉(zhuǎn)發(fā)性能500Mpps/1600Mpps。提高運(yùn)營(yíng)商級(jí)的不間斷路由轉(zhuǎn)發(fā)功能，保證業(yè)務(wù)不會(huì)中斷。Quidway174。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處理的架構(gòu)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，又具備快速良好的業(yè)務(wù)升級(jí)和擴(kuò)展能力。NE80實(shí)現(xiàn)智能業(yè)務(wù)感知，提供先進(jìn)的隊(duì)列調(diào)度算法、SARED擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時(shí)延和抖動(dòng)，滿足不同用戶、不同業(yè)務(wù)等級(jí)的“區(qū)分服務(wù)”要求。u 支持IPv4/IPvMPLS分布式轉(zhuǎn)發(fā)。 Quidway174。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，基于分布式硬件處理，具備高性能的業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。u 各關(guān)鍵部件包括路由處理系統(tǒng)、交換網(wǎng)系統(tǒng)、時(shí)鐘系統(tǒng)、電源、管理總線全部為冗余熱備份，實(shí)現(xiàn)基于狀態(tài)的熱切換u 支持豐富的L2/L3以太網(wǎng)交換特性Quidway174。u 采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)實(shí)現(xiàn)高速接口包文的集中轉(zhuǎn)發(fā)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，提供線速轉(zhuǎn)發(fā)性能。u 支持多種方式VPN（L2TP、GRE、MPLS VPN等），具備豐富的NAT功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、HDLC和LAPB等豐富的互聯(lián)功能，支持備份中心，并提供對(duì)語(yǔ)音、組播等業(yè)務(wù)的支持。 NetEngine 16E/08E/05 系列高端路由器 面向電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)和企業(yè)級(jí)核心網(wǎng)絡(luò)，有強(qiáng)大的專線接入及VPN業(yè)務(wù)能力，提供豐富的業(yè)務(wù)功能，具備完善QOS和安全特性，適用于運(yùn)營(yíng)商、政府、教育、金融、電力、企業(yè)的內(nèi)部網(wǎng)和業(yè)務(wù)網(wǎng)，包括NE16E、NE08E、NE05三款產(chǎn)品。u 支持分布式NAT，具備策略和安全管理功能，能夠防止惡意用戶對(duì)NAT連接的攻擊，提供完善的安全日志。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN業(yè)務(wù)，提供隧道融合與VPN互通，提供安全和多層次的MPLS VPN解決方案。 NetEngine 5000 系列核心路由器 面向IP網(wǎng)國(guó)家骨干網(wǎng)絡(luò)節(jié)點(diǎn)、各省的網(wǎng)絡(luò)出口節(jié)點(diǎn)以及各網(wǎng)絡(luò)之間互聯(lián)中心節(jié)點(diǎn)的核心路由器產(chǎn)品。u 采用高性能的組件，可以在所有接口上為IP/MPLS業(yè)務(wù)提供線速轉(zhuǎn)發(fā)性能；整機(jī)交換容量400Gbps/，無阻塞交換；整機(jī)轉(zhuǎn)發(fā)性能500Mpps/1600Mpps。提高運(yùn)營(yíng)商級(jí)的不間斷路由轉(zhuǎn)發(fā)功能，保證業(yè)務(wù)不會(huì)中斷。Quidway174。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，充分繼承了第四代全分布式硬件處理的架構(gòu)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，又具備快速良好的業(yè)務(wù)升級(jí)和擴(kuò)展能力。NE80實(shí)現(xiàn)智能業(yè)務(wù)感知，提供先進(jìn)的隊(duì)列調(diào)度算法、SARED擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時(shí)延和抖動(dòng)，滿足不同用戶、不同業(yè)務(wù)等級(jí)的“區(qū)分服務(wù)”要求。u 支持IPv4/IPvMPLS分布式轉(zhuǎn)發(fā)。 Quidway174。u 作為分布式第五代路由器采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)，基于分布式硬件處理，具備高性能的業(yè)務(wù)能力，勝任高性能P/PE應(yīng)用，提供高品質(zhì)、安全和多層次的MPLS VPN解決方案；提供高性能組播能力；提供千兆線速NAT等各種業(yè)務(wù)。u 各關(guān)鍵部件包括路由處理系統(tǒng)、交換網(wǎng)系統(tǒng)、時(shí)鐘系統(tǒng)、電源、管理總線全部為冗余熱備份，實(shí)現(xiàn)基于狀態(tài)的熱切換u 支持豐富的L2/L3以太網(wǎng)交換特性Quidway174。u 采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)實(shí)現(xiàn)高速接口包文的集中轉(zhuǎn)發(fā)，有機(jī)地結(jié)合了軟件的靈活性和硬件的高性能，提供線速轉(zhuǎn)發(fā)性能。u 支持多種方式VPN（L2TP、GRE、MPLS VPN等），具備豐富的NAT功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、HDLC和LAPB等豐富的互聯(lián)功能，支持備份中心，并提供對(duì)語(yǔ)音、組播等業(yè)務(wù)的支持。 NetEngine 16E/08E/05 系列高端路由器 面向電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)和企業(yè)級(jí)核心網(wǎng)絡(luò)，有強(qiáng)大的專線接入及VPN業(yè)務(wù)能力，提供豐富的業(yè)務(wù)功能，具備完善QOS和安全特性，適用于運(yùn)營(yíng)商、政府、教育、金融、電力、企業(yè)的內(nèi)部網(wǎng)和業(yè)務(wù)網(wǎng)，包括NE16E、NE08E、NE05三款產(chǎn)品。u 支持分布式NAT，具備策略和安全管理功能，能夠防止惡意用戶對(duì)NAT連接的攻擊，提供完善的安全日志。u 支持L2TP、GRE、IPSEC、EOIP、MPLS VPN等VPN業(yè)務(wù)，提供隧道融合與VPN互通，提供安全和多層次的MPLS VPN解決方案。若機(jī)房?jī)?nèi)長(zhǎng)期濕度過高，易造成絕緣材料絕緣不良甚至漏電，有時(shí)也易發(fā)生材料機(jī)械性能變化、金屬部件銹蝕等現(xiàn)象；若相對(duì)濕度過低，絕緣墊片會(huì)干縮而引起緊固螺絲松動(dòng)，同時(shí)在干燥的氣候環(huán)境下，易產(chǎn)生靜電，危害路由器上的CMOS電路；溫度過高則危害更大，它會(huì)使路由器的可靠性大大降低，長(zhǎng)期高溫還會(huì)影響其壽命，過高的溫度將加速絕緣材料的老化過程。所以建議每天檢查機(jī)房?jī)?nèi)的溫度和濕度，如果發(fā)現(xiàn)機(jī)房空調(diào)損壞，要及時(shí)的修理，減少設(shè)備在不良環(huán)境下的工作時(shí)間。建議定期檢查UPS等備用電源是否能夠正常工作，功率能否滿足設(shè)備需要，由于這些備用電源長(zhǎng)期不用，所以發(fā)生故障后不易被維護(hù)人員及時(shí)察覺，同時(shí)機(jī)房設(shè)備逐漸的增加，可能導(dǎo)致UPS等備用電源輸出的功率不能滿足機(jī)房設(shè)備的需求，這些備用電源的完好與否，功率是否滿足需要需要進(jìn)行定期的檢查，保證在主用的輸入電源中斷后，設(shè)備仍然能夠正常工作。用戶必須為路由器提供良好的接地系統(tǒng)，接地電阻如果不正常，會(huì)對(duì)設(shè)備的防雷、抗干擾，防靜電造成很大影響，對(duì)于各個(gè)器件都會(huì)產(chǎn)生不良影響，甚至損壞重要器件。 定期檢查設(shè)備的相關(guān)線纜是否完好建議定期（每1－2月檢查一次）檢查設(shè)備的電源線、尾纖、接地線纜是否完好，有沒有被腐蝕，有沒有被鼠咬，以保證業(yè)務(wù)不會(huì)因?yàn)榫€纜的損壞而受到影響。如果風(fēng)扇框上的防塵網(wǎng)上積累了過多的灰塵，或者風(fēng)扇運(yùn)轉(zhuǎn)不順暢，都會(huì)影響風(fēng)扇的通風(fēng)排熱效果，建議每月檢查一次設(shè)備風(fēng)扇運(yùn)轉(zhuǎn)是否良好，是否有隱患，風(fēng)扇框上的防塵網(wǎng)是否積累了過多灰塵。參觀級(jí)：網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。配置級(jí)：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。建議分級(jí)設(shè)置登錄口令，以便于對(duì)于不同的維護(hù)人員提供不同的口令。 例如，設(shè)置CON口的優(yōu)先級(jí)為3，從VTY 0的優(yōu)先級(jí)為2。在默認(rèn)的情況下，對(duì)于華為的設(shè)備，CONSOLE口是不進(jìn)行認(rèn)證，在使用時(shí)建議對(duì)于CONSOLE口登錄配置上認(rèn)證。用戶名和密碼要求足夠的強(qiáng)壯。本部實(shí)施的是加強(qiáng)設(shè)備訪問和提供服務(wù)的安全性管理?！九渲脤?shí)例】 配置會(huì)話建立標(biāo)題。%39。遠(yuǎn)程登錄安全要求華為全線以太網(wǎng)交換機(jī)設(shè)備提供遠(yuǎn)程管理能力，用戶可以通過遠(yuǎn)程登錄的方式對(duì)設(shè)備進(jìn)行管理。密碼管理密碼是網(wǎng)絡(luò)設(shè)備用來防止非授權(quán)訪問的主要手段，是設(shè)備安全的重要部分。對(duì)于特權(quán)模式，應(yīng)該采用enable secret命令設(shè)置強(qiáng)壯的密碼，而不要采用enable password設(shè)置密碼，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。并且要啟用Service passwordencryption，這條命令用于對(duì)存儲(chǔ)在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進(jìn)行加密。同時(shí)，不要以為加密了就可以放心了，最好的方法就是選擇一個(gè)長(zhǎng)的口令字（大于8個(gè)字符），避免配置文件被外界得到?！九渲脤?shí)例】 配置Radius服務(wù)器模板。[Quidwayradiusshiva] radiusserver authentication 1812 [Quidwayradiusshiva] radiusserver accounting 1813 配置Radius 備認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。[Quidwayradiusshiva] radiusserver sharedkey thisismysecret[Quidwayradiusshiva] radiusserver retransmit 2 進(jìn)入AAA視圖。[Quidway–aaa]authenticationscheme radius[Quidwayaaaauthenradius] authenticationmode radius 配置計(jì)費(fèi)方案，計(jì)費(fèi)方法為radius。[Quidwayaaa]domain huawei[Quidwayaaadomainhuawei] authenticationscheme radius [Quidwayaaadomainhuawei] accountingscheme radius[Quidwayaaadomainhuawei] radiusserver shiva 對(duì)于網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過濾現(xiàn)在網(wǎng)絡(luò)上的很多病毒（沖擊波、振蕩波）發(fā)作時(shí)，對(duì)網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索，該攻擊雖然不是針對(duì)設(shè)備本身，但是在攻擊過程中會(huì)涉及到發(fā)ARP探詢主機(jī)位置等操作，某些時(shí)候?qū)τ诰W(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時(shí)會(huì)占用大量的帶寬。為了避免這些病毒對(duì)于設(shè)備運(yùn)行的影響，建議在設(shè)備上配置ACL，對(duì)已知的病毒所使用的TCP、UDP端口號(hào)進(jìn)行過濾?！九渲脤?shí)例】振蕩波”病毒配置NE 16：定義防病毒訪問控制列表：[NE16B]acl number 110 matchorder auto[NE16Bacladv110]rule 10 deny tcp destinationport eq 445[NE16Bacladv110]rule 20 deny tcp destinationport eq 5554[NE16Bacladv110]rule 30 deny tcp destinationport eq 9995[NE16Bacladv110]rule 40 deny tcp destinationport eq 9996[NE16Bacladv110]quit將以上規(guī)則以應(yīng)用到相應(yīng)接口上[NE16B]interface Ethernet 2/2/0[NE16BEthernet2/2/0]firewall packetfilter 110 inbound Acl applied successfully![NE16BEthernet2/2/0]qu使能對(duì)應(yīng)槽位單板的軟件防火墻功能[NE16B]firewall enable slot 2[NE16B]NE 80/40定義“病毒”報(bào)文規(guī)則： rulemap intervlan vir1 tcp any any eq 445 rulemap intervlan vir2 tcp any any eq 5554 rulemap intervlan vir3 tcp any any eq 9995 rulemap intervlan vir3 tcp any any eq 9996 rulemap intervlan virnormal ip any any 定義丟棄“病毒”報(bào)文的規(guī)則： eacl antivir vir1 deny eacl antivir vir