我國的路由器技術(shù)發(fā)展非常迅速，同時(shí)市場需求也很高，可能好多人還不了解路由器技術(shù)中的擴(kuò)散技術(shù)，沒有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會(huì)你更多東西。GFW的重要工作方式之一是在網(wǎng)絡(luò)層的針對IP的封鎖。事實(shí)上，GFW采用的是一種比傳統(tǒng)的訪問控制列表（Access Control List，ACL）高效得多的控制訪問方式——路由擴(kuò)散技術(shù)。分析這種新的技術(shù)之前先看看傳統(tǒng)的技術(shù)，并介紹幾個(gè)概念。

訪問控制列表（ACL）

ACL可以工作在網(wǎng)絡(luò)的二層（鏈路層）或是三層（網(wǎng)絡(luò)層），以工作在三層的ACL為例，基本原理如下：想在某個(gè)路由器技術(shù)上用ACL控制（比如說是切 斷）對某個(gè)IP地址的訪問，那么只要把這個(gè)IP地址通過配置加入到ACL中，并且針對這個(gè)IP地址規(guī)定一個(gè)控制動(dòng)作，比如說最簡單的丟棄。當(dāng)有報(bào)文經(jīng)過這個(gè)路由器技術(shù)的時(shí)候，在轉(zhuǎn)發(fā)報(bào)文之前首先對ACL進(jìn)行匹配，若這個(gè)報(bào)文的目的IP地址存在于ACL中，那么根據(jù)之前ACL中針對該IP地址定義的控制動(dòng)作進(jìn)行 操作，比如丟棄掉這個(gè)報(bào)文。這樣通過ACL就可以切斷對于這個(gè)IP的訪問。ACL同樣也可以針對報(bào)文的源地址進(jìn)行控制。如果ACL工作在二層的話，那么 ACL控制的對象就從三層的IP地址變成二層的MAC地址。從ACL的工作原理可以看出來，ACL是在正常報(bào)文轉(zhuǎn)發(fā)的流程中插入了一個(gè)匹配ACL的操作， 這肯定會(huì)影響到報(bào)文轉(zhuǎn)發(fā)的效率，如果需要控制的IP地址比較多，則ACL列表會(huì)更長，匹配ACL的時(shí)間也更長，那么報(bào)文的轉(zhuǎn)發(fā)效率會(huì)更低，這對于一些骨干 路由器來講是不可忍受的。

動(dòng)態(tài)路由協(xié)議

說路由重分發(fā)之前先簡單介紹下動(dòng)態(tài)路由協(xié)議。正常情況下路由器技術(shù)上各種路由協(xié)議如OSPF、IS-IS、BGP等，各自計(jì)算并維護(hù)自己的路由表，所有 的協(xié)議生成的路由條目最終匯總到一個(gè)路由管理模塊。對于某一個(gè)目的IP地址，各種路由協(xié)議都可以計(jì)算出一條路由。但是具體報(bào)文轉(zhuǎn)發(fā)的時(shí)候使用哪個(gè)協(xié)議計(jì)算 出來的路由，則由路由管理模塊根據(jù)一定的算法和原則進(jìn)行選擇，最終選擇出來一條路由，作為實(shí)際使用的路由條目。

靜態(tài)路由

相對于由動(dòng)態(tài)路由協(xié)議計(jì)算出來的動(dòng)態(tài)路由條目，還有一種路由不是由路由協(xié)議計(jì)算出來的，而是由管理員手工配置下去的，這就是所謂的靜態(tài)路由。這種路由條目優(yōu)先級最高，存在靜態(tài)路由的情況下路由管理模塊會(huì)優(yōu)先選擇靜態(tài)路由，而不是路由協(xié)議計(jì)算出來的動(dòng)態(tài)路由。

路由重分發(fā)

剛才說到正常情況下各個(gè)路由協(xié)議是只維護(hù)自己的路由。但是在某些情況下比如有兩個(gè)AS（自治系統(tǒng)），AS內(nèi)使用的都是OSPF協(xié)議，而AS之間的 OSPF不能互通，那么兩個(gè)AS之間的路由也就無法互通。為了讓兩個(gè)AS之間互通，那么要在兩個(gè)AS之間運(yùn)行一個(gè)域間路由協(xié)議BGP，通過配置，使得兩個(gè) AS內(nèi)由OSPF計(jì)算出來的路由，能通過BGP在兩者之間重分發(fā)。BGP會(huì)把兩個(gè)AS內(nèi)部的路由互相通告給對方AS，兩個(gè)AS就實(shí)現(xiàn)了路由互通。這種情況 就是通過BGP協(xié)議重分發(fā)OSPF協(xié)議的路由條目。

另外一種情況，管理員在某個(gè)路由器上配置了一條靜態(tài)路由，但是這條靜態(tài)路由只能在這臺路由器技術(shù)上起作用。如果也想讓它在其他的路由器上起作用，最笨的 辦法是在每個(gè)路由器技術(shù)上都手動(dòng)配置一條靜態(tài)路由，這很麻煩。更好的方式是讓OSPF或是IS-IS等動(dòng)態(tài)路由協(xié)議來重分發(fā)這條靜態(tài)路由，這樣通過動(dòng)態(tài)路由協(xié) 議就把這條靜態(tài)路由重分發(fā)到了其他路由器上，省去了逐個(gè)路由器技術(shù)手工配置的麻煩。

GFW路由擴(kuò)散技術(shù)的工作原理

前面說了是“歪用”，正常的情況下靜態(tài)路由是由管理員根據(jù)網(wǎng)絡(luò)拓?fù)浠蚴腔谄渌康亩o出的一條路由，這條路由最起碼要是正確的，可以引導(dǎo)路由器技術(shù)把報(bào)文轉(zhuǎn)發(fā)到正確的目的地。而GFW的路由擴(kuò)散技術(shù)中使用的靜態(tài)路由其實(shí)是一條錯(cuò)誤的路由，而且是有意配置錯(cuò)誤的。其目的就是為了把本來是發(fā)往某個(gè)IP地址的報(bào)文統(tǒng)統(tǒng)引導(dǎo)到一個(gè)“黑洞服務(wù)器”上，而不是把它們轉(zhuǎn)發(fā)到正確目的地。這個(gè)黑洞服務(wù)器上可以什么也不做，這樣報(bào)文就被無聲無息地丟掉了。更多地，可以在服務(wù)器上對這些報(bào)文進(jìn)行分析和統(tǒng)計(jì)，獲取更多的信息，甚至可以做一個(gè)虛假的回應(yīng)。

評價(jià)

有了這種新的方法，以前配置在ACL里的每條IP地址就可以轉(zhuǎn)換成一條故意配置錯(cuò)誤的靜態(tài)路由信息。這條靜態(tài)路由信息會(huì)把相應(yīng)的IP報(bào)文引導(dǎo)到黑洞 服務(wù)器上，通過動(dòng)態(tài)路由協(xié)議的路由重分發(fā)功能，這些錯(cuò)誤的路由信息可以發(fā)布到整個(gè)網(wǎng)絡(luò)。這樣對于路由器技術(shù)來講現(xiàn)在只是在根據(jù)這條路由條目做一個(gè)常規(guī)報(bào)文轉(zhuǎn)發(fā) 動(dòng)作，無需再進(jìn)行ACL匹配，與以前的老方法相比，大大提高了報(bào)文的轉(zhuǎn)發(fā)效率。而路由器技術(shù)的這個(gè)常規(guī)轉(zhuǎn)發(fā)動(dòng)作，卻是把報(bào)文轉(zhuǎn)發(fā)到了黑洞路由器技術(shù)上，這樣既提高 了效率，又達(dá)到了控制報(bào)文之目的，手段更為高明。這種技術(shù)在正常的網(wǎng)絡(luò)運(yùn)營當(dāng)中是不會(huì)采用的，錯(cuò)誤的路由信息會(huì)擾亂網(wǎng)絡(luò)。正常的網(wǎng)絡(luò)運(yùn)營和管控體系的需求差別很大，管控體系需要屏蔽的IP地址會(huì)越 來越多。正常的網(wǎng)絡(luò)運(yùn)營中的ACL條目一般是固定的，變動(dòng)不大、數(shù)量少，不會(huì)對轉(zhuǎn)發(fā)造成太大的影響。而這種技術(shù)直接頻繁修改骨干路由表，一旦出現(xiàn)問題，將 會(huì)造成骨干網(wǎng)絡(luò)故障。

所以說GFW是歪用了路由擴(kuò)散技術(shù)，正常情況下沒有那個(gè)運(yùn)營商會(huì)把一條錯(cuò)誤的路由信息到處擴(kuò)散，這完全是歪腦筋。或者相對于正常的網(wǎng)絡(luò)運(yùn)營來 說，GFW對路由擴(kuò)散技術(shù)的應(yīng)用是一種小聰明的做法。正常的路由協(xié)議功能被濫用至此，而且非常之實(shí)用與高效，?朝在這方面真是人才濟(jì)濟(jì)。