路由器数据流概述

路由信息流

路由信息是路由协议从路由器的邻居处获知的路由信息。此信息存储在路由表中。路由协议仅通告来自路由表的活动路由。活动路由是从路由表中的所有路由中选择以到达目标的 路由 。

要控制路由协议在路由表中放置哪些路由以及路由协议从路由表通告哪些路由，您可以配置路由策略，这是策略框架用来抢占默认 路由策略的规则集。

路由引擎运行路由器的控制平面软件，处理路由协议与路由表之间以及路由表与转发表之间的路由信息流。路由引擎运行 Junos OS 和路由策略，并存储活动路由器配置、主路由表和主转发表

数据包流

数据包 是在从源转发到目标时通过路由器的数据块。当路由器在接口上收到数据包时，它会通过在转发表中查找到达目标的最佳路由来确定数据包的转发位置。然后，路由器通过相应的接口将数据包转发到目的地。

数据包转发引擎是路由器转发平面的中央处理元素，负责处理进出路由器物理接口的数据包流。尽管数据包转发引擎包含第 3 层和第 4 层标头信息，但它不包含数据包数据本身（数据包的有效负载）。

要在数据包从源转发到目标时控制通过设备的数据包流，您可以将无状态防火墙过滤器应用于路由器或交换机物理接口的输入或输出。

要为接口上发送或接收的流量强制实施指定的带宽和最大突发大小，您可以配置监管器。监管器是一种特殊类型的无状态防火墙过滤器，也是 Junos OS 服务等级 （CoS） 的主要组件。

本地数据包流

本地数据包 是发往路由器或由路由器发送的数据块。本地数据包通常包含路由协议数据、用于 IP 服务（如 Telnet 或 SSH）的数据，以及用于管理协议（如互联网控制消息协议 （ICMP））的数据。当路由引擎收到本地数据包时，它会将数据包转发到相应的进程或内核（两者都是路由引擎的一部分）或数据包转发引擎。

路由引擎处理从路由器物理接口流向路由引擎的本地数据包流。

要控制物理接口与路由引擎之间的本地数据包流，您可以将无状态防火墙过滤器应用于环路接口的输入或输出。环路接口 （lo0） 是路由引擎的接口，不携带数据包。

路由信息和数据包的相互依赖流

图 1 说明了通过路由器的数据流。尽管路由信息流和数据包流彼此非常不同，但它们也是相互依赖的。

图 1： 路由信息和数据包流

路由策略确定路由引擎在转发表中放置哪些路由。反过来，转发表在确定转发数据包的适当物理接口方面发挥着不可或缺的作用。

无状态和有状态防火墙过滤器

无状态防火墙过滤器（也称为访问控制列表 （ACL））不会对流量进行有状态检查。相反，它静态评估数据包内容，并且不跟踪网络连接的状态。相反，有状态防火墙过滤器使用从数据流中的其他应用程序和过去通信派生的连接状态信息来做出动态控制决策。

无状态防火墙过滤器的基本目的是通过使用数据包过滤来增强安全性。数据包过滤使您能够检查传入或传出数据包的组件，然后对与您指定的条件匹配的数据包执行您指定的操作。无状态防火墙过滤器的典型用途是保护路由引擎进程和资源免受恶意或不受信任数据包的侵害。