软路由器是什么（一）

软路由器是指通过软件实现路由功能的路由器。由于用户对网络延迟和带宽的需求日渐走高，软路由器逐渐流行。软路由器功能丰富，本文介绍了部分软路由器普遍支持的功能，其中传统路由/网关功能包括防火墙、上网行为管理、PPPoE拨号上网和DDNS+端口映射，附加功能包括NAS、带宽叠加和Docker。

#家用互联

发布时间：2022-10-20
点击量：
点赞：

分享至

我想评论

1 概述

软路由器是指通过软件实现路由功能的路由器，又称为“软路由”。它与传统路由器的本质差异在于传统路由器依靠芯片实现底层转发功能，而软路由器的底层转发功能是基于软件实现的。

随着互联网的快速发展和新兴业务的普及，在互联网上浏览社交媒体、听音乐、玩游戏和观看视频等活动已逐渐融入大众生活，加之大数据和人工智能等新技术与各个行业的结合日趋紧密，用户对网络延迟和带宽的需求水涨船高。

路由器是连接多个网络、实现三层报文转发的重要网络设备。传统路由器通过专用的转发芯片实现转发功能，受制于成本，其本身的CPU和内存配置通常较为有限，在应对高带宽、大流量和多应用的场景时难以支撑通信需求。此外，传统路由器通常由生产厂商维护软件，其功能迭代通常针对大多数用户的需求，很难满足小部分特殊用户的定制化需求。基于如上原因，软路由器在互联网上逐渐流行起来。

2 软路由器的功能

除了部分商用的软路由器软件，大部分软路由器的软件都是开源的，其生态较为开放，功能相比传统路由器更加丰富。除了传统路由/网关功能之外，社区开发者和爱好者还为软路由器开发了诸多附加功能。

由于软路由器的具体功能是由软件决定的，不同软路由器软件间存在功能和特性差异，本章节仅涉及软路由器普遍支持的功能，并将其分为传统路由/网关功能和附加功能两个部分进行介绍。

2.1 传统路由/网关功能

本节将介绍如下传统路由/网关功能：

●防火墙

●上网行为管理

●PPPoE拨号上网

●DDNS+端口映射

2.1.1 防火墙

防火墙是计算机网络内外网间的安全屏障。防火墙可以通过拦截外网攻击、过滤不安全的服务和隔离措施保障内网信息安全。

图2-1 防火墙功能示意图

一般来说，软路由器的防火墙功能包含如下三类：

●软件内置规则：防火墙软件通常会内置一些基础的攻击判断规则。接收报文后，软件会通过内置规则判断内网是否正遭受某种攻击（例如SYN Flood攻击），并丢弃符合攻击特征的报文。

●手动配置过滤规则：此类规则需要用户手动配置，一般需要指定报文的源和目的IP以及端口号。在收到报文后，软路由器会通过软件提取报文字段并匹配过滤规则，依据匹配结果转发或丢弃报文。

●流量审计：软路由器会记录流量信息，便于用户在巡检或内网遭受攻击时获取详细的报表。

2.1.2 上网行为管理

上网行为管理一般部署于网关，常用于控制内网用户的上网行为，可以防止用户非法访问外网或内网用户浏览非法网站等。开启上网行为管理能够保护组织信息资产安全、保证内网用户正常的上网行为和避免法律风险，还可以实时管理网络资源使用情况，提高网络资源使用效率。

图2-2 上网行为管理功能示意图

对于软路由器，常见的上网行为管理功能包括：

●访问限制：手动配置黑名单或者白名单。软件通过解析内网报文的源MAC地址，并匹配黑名单或者白名单中的MAC地址，以确认用户是否可以访问互联网。

●URL过滤：手动配置黑名单或者白名单。软件会解析内网报文，匹配白名单或是黑名单中的URL信息，以确认用户是否可以访问指定的URL。

●上网时间控制：手动配置用户上网时间，在指定时间外若软路由器收到用户的报文将会直接丢弃。

●应用过滤：限制内网的应用软件访问网络。若软件判断报文特征和指定应用匹配，则直接丢弃此报文，阻断应用和服务器之间的通信。

●带宽管理：内网通常通过运营商或教育网入口访问互联网，其接入带宽是有限的。带宽管理可以限制内网用户访问外网的速率，也可以调整用户报文优先级，从而保证关键用户和应用的带宽需求。

●流量审计：软路由器会记录访问外部网络的流量信息，便于用户在巡检时获取详细的报表。

2.1.3 PPPoE拨号上网

PPPoE（Point-to-Point Protocol over Ethernet，基于以太网的点对点协议）是一种在以太网上进行点对点连接的协议。PPPoE集成了PPP协议，支持身份验证、加密以及压缩等功能，是当前各大运营商普遍采用的接入协议。

软路由器支持PPPoE客户端功能。只需要将光猫设置为桥接模式，再使用软路由器拨号，用户即可通过软路由器访问互联网。

图2-3 软路由器拨号上网拓扑示意图

2.1.4 DDNS+端口映射

使用软路由器充当网关时，通过DDNS（Dynamic Domain Name Server，动态域名服务）配合端口映射功能可以实现外网设备访问内网服务器。

DNS（Domain Name System，域名系统）是保存互联网域名和IP地址相互映射的分布式数据库。DNS能提供静态IP和主机名称的映射服务。在访问互联网时，用户只需记住主机名称，即可在DNS的帮助下获取主机的IP地址。但是，用户仅依靠DNS是无法访问内网服务器的，原因有二：

(1) DNS仅能提供静态IP和主机名称的映射服务，而普通用户使用运营商提供网络接入服务时，通常获取到的是动态IP。

(2) 目标设备的IP地址不是运营商分配的动态IP。一般来说，用户访问的设备并不直接接入外网，而是连接在局域网的网关或路由器上；网关或路由器通过拨号认证接入运营商网络，获得运营商分配的动态IP。而目标设备此时使用的IP地址是内网IP，用户仍无法从外网直接访问。

DDNS配合端口映射能够有效解决上述问题：

(1) DDNS可以将动态IP地址映射到一个固定的域名解析服务上。内网服务器连接网络时，软路由器作为DDNS客户端将发送更新域名和IP地址对应关系的请求至DDNS服务器程序，由服务器程序通知DNS服务器重新建立域名和IP地址之间的对应关系。之后用户即可通过DNS解析域名，获取域名对应的动态IP并访问。

图2-4 DDNS示意图