技術(shù)領(lǐng)域

本發(fā)明涉及一種路由器，尤其涉及一種實現(xiàn)通道分離的路由器，以及在 路由器中實現(xiàn)通道分離的傳輸方法。

背景技術(shù)

隨著計算機應(yīng)用的普及和Internet的不斷發(fā)展，計算機網(wǎng)絡(luò)更廣泛的應(yīng)用 到各行各業(yè)，為人們提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議 本身缺乏安全性，使得網(wǎng)絡(luò)存在著各種安全問題。即網(wǎng)絡(luò)上存在著各種類型 的攻擊方式，如竊聽報文、IP地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù) 攻擊和應(yīng)用層攻擊等等。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是一個重要 的問題，針對網(wǎng)絡(luò)存在的各種安全隱患，安全路由器必須具備如下安全特性：

a、可靠性與線路安全：可靠性要求是針對故障恢復(fù)和負(fù)載能力而提出來 的。對于路由器來說，可靠性主要體現(xiàn)在接口故障和網(wǎng)絡(luò)流量增大兩種情況 下；

b、身份認(rèn)證：路由器中的身份認(rèn)證主要包括訪問路由器時的身份認(rèn)證， 對端路由器的身份認(rèn)證和路由信息的身份認(rèn)證；

c、訪問控制，其包括三種訪問控制方式：①對于路由器的訪問控制②基 于IP地址的訪問控制③基于用戶的訪問控制，其中，所述①對于路由器的訪問 控制需要進行口令的分級保護；

d、信息隱藏：與對端通信時，不一定需要用真實身份進行通信。通過地 址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪問外部網(wǎng)絡(luò)，除了 由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源；

e、數(shù)據(jù)加密：為了避免因為數(shù)據(jù)竊聽而造成的信息泄漏，有必要對所傳 輸?shù)男畔⑦M行加密，只有與之通信的對端才能對此密文進行解密，通過對路 由器所發(fā)送的報文進行加密，即使在Internet上進行傳輸，也能保證數(shù)據(jù)的私 有性、完整性以及報文內(nèi)容的真實性；

f、攻擊探測和防范：路由器作為一個內(nèi)部網(wǎng)絡(luò)對外的接口設(shè)備，是攻擊 者進入內(nèi)部網(wǎng)絡(luò)的第一個目標(biāo)。假如路由器不提供攻擊檢測和防范，則也是 攻擊者進入內(nèi)部網(wǎng)絡(luò)的一個橋梁。在路由器上提供攻擊檢測，可以防止一部 分的攻擊。

隨著網(wǎng)絡(luò)應(yīng)用的普及和擴大，以及網(wǎng)絡(luò)攻擊的存在，進入路由器的流量 必然增大，因此需要進行流量控制，現(xiàn)在的流量控制技術(shù)主要由三大部分來 實現(xiàn)，包括隊列優(yōu)先級、報文分類、過濾器。

現(xiàn)有技術(shù)中存在的問題是路由器內(nèi)部所有報文都通過同一通道進行傳 輸。所述報文包括有控制消息和協(xié)議報文，其中，控制消息是路由器內(nèi)部的 控制面消息，優(yōu)先級比協(xié)議報文高，要求傳送的可靠性也高。隨著網(wǎng)絡(luò)被廣 泛的應(yīng)用，路由器內(nèi)部的協(xié)議報文也隨之增加，同時當(dāng)網(wǎng)絡(luò)遭到網(wǎng)絡(luò)攻擊， 一部分攻擊報文進入網(wǎng)絡(luò)內(nèi)部，使得協(xié)議報文急劇增加，從而使得整體協(xié)議 報文的流量增大，需要占用大量的控制面消息的數(shù)據(jù)傳輸寬帶，進行報文數(shù) 據(jù)傳輸，常常會導(dǎo)致控制面消息擁塞或被丟棄。控制面消息非常重要，有時 會因為丟失一個控制面消息而影響到整個系統(tǒng)的運行。如果路由器內(nèi)部的控 制面消息本身也很多時，同樣會影響到協(xié)議報文的傳輸。由此可見，這種控 制消息和協(xié)議報文通過同一通道進行數(shù)據(jù)傳輸?shù)姆绞絼荼亟档吐酚善鞯目煽? 性和安全性。

發(fā)明內(nèi)容

本發(fā)明的目的之一在于提供一種實現(xiàn)通道分離的路由器及其通道分離的 傳輸方法，提高路由器的可靠性和安全性。

本發(fā)明的技術(shù)方案如下：

本發(fā)明提出一種實現(xiàn)通道分離的路由器，包括：第一本地交換模塊、中

心交換模塊、第二本地交換模塊，其中，

所述第一本地交換模塊用于查找第一本地交換模塊中端口屬性與報文信 息對應(yīng)的發(fā)送端口，將報文信息從該發(fā)送端口發(fā)送至中心交換模塊；

所述中心交換模塊用于查找中心交換模塊中端口屬性與所述報文信息對 應(yīng)的發(fā)送端口，將報文信息從該發(fā)送端口發(fā)送至第二本地交換模塊；

端口屬性為端口類型，端口類型包括控制端口和協(xié)議端口，報文信息包 括控制信息和協(xié)議信息；控制端口與控制信息對應(yīng)，協(xié)議端口與協(xié)議信息對 應(yīng)。

所述的實現(xiàn)通道分離的路由器，其中，所述第一本地交換模塊用于當(dāng)?shù)? 一本地交換模塊中沒有端口屬性與報文信息對應(yīng)的發(fā)送端口，將報文信息從 任一發(fā)送端口發(fā)送至中心交換模塊。

所述的實現(xiàn)通道分離的路由器，其中，所述中心交換模塊包括多個；接 收報文信息的一中心交換模塊，用于將報文信息從本中心交換模塊的端口發(fā) 送至第二本地交換模塊。