PTN分組傳送設(shè)備組網(wǎng)與實(shí)訓(xùn) 第2版 課件 任務(wù)3-路由,ACL和QoS技術(shù)

單元3路由、ACL與QoS通信技術(shù)教研室

3.1路由選擇與路由器的原理

3.2路由協(xié)議與自治系統(tǒng)

3.3路由信息協(xié)議RIP

3.4OSPF內(nèi)部路由協(xié)議與BGP外部路由協(xié)議在廣域網(wǎng)中，最基本的通信設(shè)備是組成通信子網(wǎng)的路由器，路由器通過點(diǎn)到點(diǎn)的長(zhǎng)距離鏈路互連，有多個(gè)輸入和輸出端口，主機(jī)通過點(diǎn)到點(diǎn)的鏈路與路由器相連．從一個(gè)源端到達(dá)目標(biāo)端由許多條路徑，那么如何選擇一條最佳路徑進(jìn)行數(shù)據(jù)的傳輸呢？路由器的主要功能是對(duì)主機(jī)要傳輸?shù)臄?shù)據(jù)進(jìn)行存儲(chǔ)和轉(zhuǎn)發(fā)，為此，就必須為其在眾多的網(wǎng)絡(luò)路徑中選擇一條最優(yōu)路徑，這就是路由選擇．路由選擇是路由器最主要的功能之一．路由選擇（1）路由器的構(gòu)成路由器是一種具有多個(gè)輸入端口和多個(gè)輸出端口的專用計(jì)算機(jī)，其任務(wù)是轉(zhuǎn)發(fā)分組。也就是說，將路由器某個(gè)輸入端口收到的分組，按照分組要去的目的網(wǎng)絡(luò)，把該分組從路由器的某個(gè)合適的輸出端口轉(zhuǎn)發(fā)給下一跳路由器。下一跳路由器也按照這種方法處理分組，直到該分組到達(dá)終點(diǎn)為止。它負(fù)責(zé)數(shù)據(jù)報(bào)的分段功能，通過執(zhí)行路由協(xié)議和路由算法實(shí)現(xiàn)路由表信息的交換和計(jì)算更新與維護(hù)１．路由選擇的基本概念Cisco7202路由器Cisco7606路由器Cisco7600路由器(1)路由器的構(gòu)成

１．路由選擇的基本概念課件制作人：謝希仁謝鈞路由選擇路由選擇處理機(jī)路由選擇協(xié)議路由表3輸入端口3交換結(jié)構(gòu)輸入端口輸出端口分組轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)表分組處理輸出端口……11133122223——網(wǎng)絡(luò)層2——數(shù)據(jù)鏈路層1——物理層1“轉(zhuǎn)發(fā)”(forwarding)就是路由器根據(jù)轉(zhuǎn)發(fā)表將用戶的IP數(shù)據(jù)報(bào)從合適的端口轉(zhuǎn)發(fā)出去。2“路由選擇”(routing)則是按照分布式算法，根據(jù)從各相鄰路由器得到的關(guān)于網(wǎng)絡(luò)拓?fù)涞淖兓闆r，動(dòng)態(tài)地改變所選擇的路由。3路由表是根據(jù)路由選擇算法得出的。而轉(zhuǎn)發(fā)表是從路由表得出的。4在討論路由選擇的原理時(shí)，往往不去區(qū)分轉(zhuǎn)發(fā)表和路由表的區(qū)別5若路由器處理分組的速率小于分組進(jìn)入隊(duì)列的速率，則隊(duì)列的存儲(chǔ)空間最終必定會(huì)填滿，這就使后面進(jìn)入隊(duì)列分組由于沒有存儲(chǔ)空間而只能被丟棄。6路由器中的輸入或輸出隊(duì)列產(chǎn)生溢出是造成分組丟失的重要原因。(1)路由器的構(gòu)成

１．路由選擇的基本概念１．路由選擇的基本概念(2)路由表：路由表：每個(gè)路由器都有一個(gè)路由表，路由表是路由器進(jìn)行路由選擇的主要依據(jù)，路由表必須包含所有可能的目標(biāo)網(wǎng)絡(luò)地址和到達(dá)該目標(biāo)網(wǎng)絡(luò)地址的最優(yōu)路徑的下一站IP地址．路由表告訴路由器向哪個(gè)邏輯網(wǎng)段發(fā)送數(shù)據(jù)信息和用哪個(gè)路由器轉(zhuǎn)發(fā)這些數(shù)據(jù)信息。(3）靜態(tài)路由:是指路由表在由人工配置和計(jì)算之后不再改變的路由信息組織方式．當(dāng)網(wǎng)絡(luò)發(fā)生變化時(shí)，必須由人工進(jìn)行更新和配置．采用靜態(tài)路由，從原主機(jī)到目標(biāo)主機(jī)的所有數(shù)據(jù)都按同一條路徑傳輸，靜態(tài)路由它要求網(wǎng)絡(luò)管理人員預(yù)先定義要通信的所有邏輯網(wǎng)絡(luò)，它通過指定默認(rèn)路由器，轉(zhuǎn)發(fā)所有未定義目標(biāo)網(wǎng)絡(luò)的通信．這種路由表的組織形式最大的優(yōu)點(diǎn)就是簡(jiǎn)單，但是也有缺點(diǎn)：不夠靈活，無法處理因網(wǎng)路拓?fù)渥兓蛽砣收献鞒龇磻?yīng)．一、路由選擇一、路由選擇路由選擇的基本概念動(dòng)態(tài)路由：當(dāng)網(wǎng)絡(luò)變化時(shí)路由表要隨時(shí)更新，稱為動(dòng)態(tài)路由．動(dòng)態(tài)路由的實(shí)現(xiàn)取決于如下兩個(gè)基本功能：交換路由信息：由路由協(xié)議來解決，它規(guī)定路由信息的交換，包括如何傳遞路由信息的更新，傳遞什么等計(jì)算、更新和維護(hù)路由表：由路由算法來解決，路由算法計(jì)算更新路由表的目標(biāo)是使表中包含最優(yōu)路徑．路由選擇的基本原理:由誰(shuí)來選擇：路由器一、路由選擇路由選擇的基本原理:什么時(shí)侯選擇：取決于采用的數(shù)據(jù)交換方式，數(shù)據(jù)報(bào)需要在每個(gè)包到達(dá)路由器時(shí)單獨(dú)選擇路由；虛電路僅在建立虛電路時(shí)選擇路經(jīng)，以后數(shù)據(jù)傳輸不須再進(jìn)行路由選擇．什么是最優(yōu)路徑：路經(jīng)最優(yōu)有不同的度量方式，可基于某一鏈路特征，也可由多個(gè)特征組成，鏈路特征有：帶寬時(shí)延可靠性負(fù)載跳數(shù)費(fèi)用上述特性都可用數(shù)字表示，即用“距離”表示二、路由協(xié)議及自治系統(tǒng)路由協(xié)議：路由器交換路由信息的約定。路由器的主要職責(zé)是接收IP數(shù)據(jù)報(bào)，按照數(shù)據(jù)報(bào)的目標(biāo)網(wǎng)絡(luò)地址進(jìn)行進(jìn)行路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)。為了進(jìn)行動(dòng)態(tài)路由選擇，路由器之間必須進(jìn)行交換路由信息，有了路由信息才能進(jìn)行計(jì)算和構(gòu)造路由表。路由器之間進(jìn)行路由信息交換的約定，就是路由協(xié)議。Internet路由協(xié)議根據(jù)所適用的范圍可分為兩類：內(nèi)部路由協(xié)議IRP（InteriorRouterProtocol）外部路由協(xié)議ERP（ExteriorRouterProtocol）內(nèi)部路由協(xié)議IRP：也稱為內(nèi)部網(wǎng)關(guān)協(xié)議IGP，是一個(gè)自治系統(tǒng)內(nèi)路由器之間交換路由信息使用的協(xié)議。主要有：路由信息協(xié)議RIP（RouterInformationProtocol）、路由信息協(xié)議RIP-2、開放最短路徑優(yōu)先協(xié)議OSPF（OpenShortestPathProtocol）和ISO網(wǎng)際互連協(xié)議（中間系統(tǒng)到中間系統(tǒng)協(xié)議IS-IS和端接系統(tǒng)到中間系統(tǒng)協(xié)議ES-IS）。前三個(gè)協(xié)議是TCP/IP協(xié)議族的一部分，只能路由IP分組，ISO網(wǎng)際互連協(xié)議可以路由IP分組和OSI無連接網(wǎng)絡(luò)層協(xié)議ISOCNLP分組。外部路由協(xié)議ERP：也稱為外部網(wǎng)關(guān)協(xié)議EGP（ExteriorGatewayProtocol）是不同自治系統(tǒng)的路由器之間交換信息使用的協(xié)議。外部路由協(xié)議主要是邊界網(wǎng)關(guān)路由協(xié)議:BGP（BorderGatewayprotocol）。01021、路由協(xié)議：路由器交換路由信息的約定。二、路由協(xié)議及自治系統(tǒng)Internet互連網(wǎng)絡(luò)是由許多單獨(dú)管理和運(yùn)行的互連網(wǎng)組成。從路由計(jì)算的角度看，Internet是由許多的自治系統(tǒng)AS（AutonomousSystem）互連而成。所謂自治系統(tǒng)就是指由一些路由器連接而成的互聯(lián)網(wǎng)，這些路由器是在單一機(jī)構(gòu)的管理和操作之下，獨(dú)立地運(yùn)行。每個(gè)自治系統(tǒng)獨(dú)立地采用自己的路由算法和路由協(xié)議，實(shí)行獨(dú)立的管理。01自制系統(tǒng)的劃分就是可以實(shí)現(xiàn)分層次的路由選擇，以便解決大規(guī)模網(wǎng)絡(luò)環(huán)境下巨大路由表信息交換問題和各部門內(nèi)部網(wǎng)絡(luò)拓?fù)潆[藏保護(hù)問題。自治系統(tǒng)路由器使用一種內(nèi)部路由選擇協(xié)議和共同的度量來確定內(nèi)部路由，同時(shí)強(qiáng)調(diào)一個(gè)AS對(duì)于其他AS表現(xiàn)出的是一個(gè)獨(dú)立和統(tǒng)一的路由選擇策略。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)外部網(wǎng)關(guān)自治系統(tǒng)的基本概念I(lǐng)NTERNET06主機(jī)連接點(diǎn)04自治系統(tǒng)01物理網(wǎng)絡(luò)03核心網(wǎng)絡(luò)05內(nèi)部網(wǎng)關(guān)02Internet中許多的自治系統(tǒng)AS都十分的龐大，為了實(shí)現(xiàn)更好的區(qū)域管理，自治系統(tǒng)可進(jìn)一步劃分為若干個(gè)區(qū)（Area）。每個(gè)區(qū)是由相連的一組網(wǎng)絡(luò)和與這組網(wǎng)絡(luò)之一連接的路由器組成。區(qū)與區(qū)的網(wǎng)絡(luò)不重疊。每個(gè)區(qū)有它自己的拓?fù)鋽?shù)據(jù)庫(kù)和有向圖。網(wǎng)絡(luò)細(xì)節(jié)在區(qū)外不可見，區(qū)內(nèi)的路由器也不知道區(qū)外的詳細(xì)拓?fù)?。這種信息的隔離可以減少路由信息的流量。01每個(gè)自治系統(tǒng)都有一個(gè)核心主干區(qū)，編號(hào)為0。所有其他區(qū)都與主干區(qū)相連，從自治系統(tǒng)的任何一個(gè)區(qū)可通過主干區(qū)到達(dá)另一區(qū)。主干區(qū)由不包含任一區(qū)的物理網(wǎng)絡(luò)、與其相連的路由器以及屬于多個(gè)區(qū)的路由器組成。主干區(qū)的拓?fù)湓谥鞲蓞^(qū)外不可見。其示意圖如圖所示。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)

2、自治系統(tǒng)的基本概念

R1N1N2N3N4R2R3R4R6N11N10N9R9R10R11N6N8N7R8R10R7R5N12N13N14N12N15區(qū)1區(qū)2區(qū)3自治系統(tǒng)內(nèi)部路由器：完全在自治系統(tǒng)的區(qū)內(nèi)，這類路由器對(duì)于本區(qū)的內(nèi)部路由以及本區(qū)的區(qū)界路由運(yùn)行相同路由算法。區(qū)界路由器：連接兩個(gè)或多個(gè)區(qū)，它們除了運(yùn)行本區(qū)的基本路由算法外，還要運(yùn)行相連區(qū)的多個(gè)復(fù)制路由信息，同時(shí)也要運(yùn)行主干區(qū)的路由信息。主干路由器：由所有的區(qū)界路由器和主干區(qū)內(nèi)部路由器組成。在全部主干路由器上運(yùn)行基本路由算法時(shí)，兩個(gè)區(qū)界路由器可能有通過不同區(qū)的幾條不同路徑，這些路徑應(yīng)分別計(jì)算并進(jìn)行比較，找出最短路徑。自治系統(tǒng)的邊界路由器：與其他自治系統(tǒng)的邊界路由器交換外部信息。自治系統(tǒng)的邊界路由器可以是內(nèi)部路由器、區(qū)界路由器也可以是主干路由器。2、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是由Xerox網(wǎng)絡(luò)系統(tǒng)的路由協(xié)議發(fā)展而來的。RIP在1982年綁定為TCP/IP協(xié)議族的一部分而成為IP路由的事實(shí)標(biāo)準(zhǔn)。RIP實(shí)現(xiàn)在自治系統(tǒng)內(nèi)部執(zhí)行路由功能。每個(gè)路由器向其鄰居傳送整個(gè)路由表。當(dāng)自治系統(tǒng)變大后，其實(shí)用性就大大減弱。在小型的同構(gòu)網(wǎng)絡(luò)中，RIP是一個(gè)非常有效的路由協(xié)議。RIP每30秒鐘廣播一次路由表更新消息來更新路由信息。一個(gè)RIP設(shè)備收到更新后，將它當(dāng)前的信息與接收到的更新信息進(jìn)行比較。當(dāng)更新路由信息包含下列條目之一時(shí)一條包含以前從未到達(dá)的目標(biāo)路由和相應(yīng)的距離信息（發(fā)現(xiàn)新的目的地）一條具有更小代價(jià)的到達(dá)一個(gè)已知目的地的新的路由（發(fā)現(xiàn)新的路徑）一條到已知目的地的已知路由具有新的代價(jià)。（已有路徑上更新最佳距離）三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是基于距離向量路由算法，RIP每一個(gè)路由器維護(hù)一個(gè)到達(dá)其他每一個(gè)目標(biāo)網(wǎng)絡(luò)的距離記錄，即距離向量。RIP的“距離”概念是指：路由器直接連接的網(wǎng)絡(luò)距離為1，到非直接連接的網(wǎng)絡(luò)距離定義為所經(jīng)過的路由器數(shù)，即我們所說的“跳數(shù)”。距離越短，表明到達(dá)目標(biāo)網(wǎng)絡(luò)的跳數(shù)越少，路徑越短。RIP允許一條路徑最大只能包含16個(gè)路由器跳數(shù)，如果一個(gè)目標(biāo)網(wǎng)絡(luò)需要經(jīng)過16跳才能到達(dá)，那么RIP認(rèn)為該路由器不可達(dá)。RIP是一種分布式路由選擇協(xié)議，其特點(diǎn)如下：僅和相鄰路由器交換路由信息【和誰(shuí)交換】交換當(dāng)前路由器所有的路由信息，即自己的路由表[交換什么]按照固定時(shí)間進(jìn)行路由信息交換。[什么時(shí)間交換]RIP使用定時(shí)器來解決鏈路失效和相鄰路由失效問題。若180秒內(nèi)當(dāng)前路由器沒有收到相鄰路由器的任何信息，RIP認(rèn)為該相鄰路由器或鏈路失效。當(dāng)前路由器作出判定后，該路由器就向它的其他相鄰路由器發(fā)送關(guān)于這個(gè)失效的消息。隨后對(duì)路由表中包含經(jīng)過失效路由或鏈路的路由信息進(jìn)行更改。RIP采用的是一種迭代學(xué)習(xí)的路由表建立算法，路由表主要包括：目標(biāo)網(wǎng)絡(luò)地址、到達(dá)該目標(biāo)網(wǎng)絡(luò)的最短距離、應(yīng)該經(jīng)過的下一跳IP地址。RIP所采用的距離向量路由算法具有收斂速度慢、計(jì)數(shù)無限、路由循環(huán)等問題,RIP采用了一些策略：水平分割、帶毒性逆轉(zhuǎn)水平分割、抑制方法。0103021、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIP收到相鄰路由器（其地址為X）的一個(gè)RIP報(bào)文：解釋：假如相鄰路由器X=交換RIP報(bào)文中包含“，3，”，即我經(jīng)過路由器端口，到達(dá)目標(biāo)網(wǎng)絡(luò)的距離是3.收到信息的路由器就把RIP報(bào)文改為：“，4，”，然后執(zhí)行下一步。RIP的路由信息更新原理：先修改此RIP報(bào)文中的所有項(xiàng)目：把“下一跳”字段中的地址都改為X，并把所有的“距離”字段的值加1。對(duì)修改后的RIP報(bào)文中的每一個(gè)項(xiàng)目，重復(fù)以下步驟：三、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP的路由信息更新原理：IF當(dāng)前路由表中沒有包含目標(biāo)網(wǎng)絡(luò)N，THEN把該項(xiàng)目加到路由表中。ELSEIF原路由表中到達(dá)目標(biāo)網(wǎng)絡(luò)N的下一跳地址是X，THEN把收到的RIP信息替換原路由表中的信息。ELSEIF收到RIP中的距離小于路由表中的距離，THEN進(jìn)行更新，ELSE，什么也不做。ENDIF;ENDIF;ENDIF.若3分鐘還沒有收到相鄰路由器的更新路由表，則把此相鄰路由器記為不可達(dá)路由器，即將距離置為16。(4)返回。三、路由信息協(xié)議RIP

2、路由信息協(xié)議RIP-2RIP在最初設(shè)計(jì)的時(shí)候并沒有考慮支持自治系統(tǒng)、子網(wǎng)和認(rèn)證，也不能解析邊界網(wǎng)關(guān)路由協(xié)議BGP。為了解決上述問題，1998年對(duì)原來的RIP進(jìn)行了擴(kuò)充，形成了RIP-2。在RIP分組協(xié)議格式中，保留了幾個(gè)未使用字段，在RIP-2中對(duì)其進(jìn)行擴(kuò)充。如紅色部分所示：命令1字節(jié)版本號(hào)1字節(jié)未使用2字節(jié)AFI2字節(jié)路由標(biāo)記2字節(jié)IP地址4字節(jié)子網(wǎng)掩碼4字節(jié)下一跳4字節(jié)量度4字節(jié)RIP-2增加的信息包括路由標(biāo)記認(rèn)證信息，使得本路由器可以確認(rèn)獲得的信息來自合法的鄰居信息。同時(shí)增加了子網(wǎng)掩碼字段，以支持可變長(zhǎng)的子網(wǎng)劃分。RIP-2協(xié)議格式字段的含義：實(shí)現(xiàn)認(rèn)證AFI：如果RIP分組的第一個(gè)信息的AFI字段是FFFF，那么表示該信息是一個(gè)認(rèn)證分組。目前RIP－2只支持簡(jiǎn)單的密碼認(rèn)證。路由標(biāo)記字段：路由標(biāo)記字段使得RIP可以區(qū)分內(nèi)部RIP路由和外部RIP路由。它們通常從外部網(wǎng)關(guān)協(xié)議BGP或另一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議如OSPF導(dǎo)入。IP地址：指示目標(biāo)網(wǎng)絡(luò)的IP地址子網(wǎng)掩碼：RIP-2不象RIP那樣僅支持相同的子網(wǎng)路由，它可以支持變長(zhǎng)的子網(wǎng)地址。在Internet網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址中包含子網(wǎng)標(biāo)識(shí)。路由器在進(jìn)行路由選擇時(shí)也要依靠子網(wǎng)地址來確定路由。子網(wǎng)地址字段包含子網(wǎng)掩碼，應(yīng)用子網(wǎng)掩碼來生成網(wǎng)絡(luò)地址。2、路由信息協(xié)議RIP-2三、路由信息協(xié)議RIP路由信息協(xié)議RIP路由信息協(xié)議RIP-2下一跳字段：該字段表示包含目標(biāo)地址的分組將被轉(zhuǎn)發(fā)的下一站的IP地址。該字段可以避免IP分組被額外的跳轉(zhuǎn)路由。量度：RIP-2實(shí)現(xiàn)組播功能。而不是象RIP采用廣播功能。這樣可以減少不監(jiān)聽RIP－2分組的主機(jī)負(fù)擔(dān)。RIP-2改進(jìn)了RIP的性能，但是由于有16跳的限制，它不能為大型網(wǎng)絡(luò)提供路由服務(wù)。所以，目前網(wǎng)絡(luò)采用開發(fā)最短路徑優(yōu)先OSPF協(xié)議。開放最短路徑優(yōu)先路由協(xié)議OSPF是一種基于鏈路狀態(tài)路由算法的內(nèi)部網(wǎng)關(guān)協(xié)議。1989年IETF委員會(huì)的一個(gè)工作組，對(duì)鏈路狀態(tài)路由協(xié)議進(jìn)行了擴(kuò)充和修改，研制成功了OSPF協(xié)議。其主要為TCP/IP互連網(wǎng)絡(luò)環(huán)境設(shè)計(jì)。其目標(biāo)是使TCP/IP協(xié)議快速響應(yīng)網(wǎng)絡(luò)拓?fù)渥兓?，而又減少路由信息量。OSPF在20世紀(jì)80年代成為內(nèi)部網(wǎng)關(guān)協(xié)議的標(biāo)準(zhǔn)。目前許多的路由器都支持OSPF協(xié)議。1開放最短路徑優(yōu)先路由協(xié)議OSPF的“開放”指的是公開發(fā)表，不受任何廠家限制，“最短路徑優(yōu)先”指的是采用鏈路狀態(tài)路由算法的SPF。OSPF是專門為大型異構(gòu)網(wǎng)絡(luò)設(shè)計(jì)，支持16比特的路由選擇量度，允許網(wǎng)管人員基于流量負(fù)載、傳輸延遲、鏈路速率以及帶寬來設(shè)計(jì)最小代價(jià)的路由選擇方案。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4在自治系統(tǒng)內(nèi)部采用洪泛法實(shí)現(xiàn)所有路由信息的交換。一個(gè)路由器只與其相鄰的路由器進(jìn)行路由信息的交換，最終實(shí)現(xiàn)整個(gè)自治區(qū)域的信息交換。交換的路由信息只包含當(dāng)前路由器的相鄰路由和到達(dá)相鄰路由的距離，即鏈路狀態(tài)包LSP。OSPF作為鏈路狀態(tài)路由協(xié)議，每個(gè)路由器維持一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)描述自治系統(tǒng)的拓?fù)?。只有?dāng)鏈路狀態(tài)發(fā)生變化時(shí)，才采用洪泛法交換路由信息。RIP采用的卻是定期交換路由信息的方法。自治系統(tǒng)中每個(gè)路由器的鏈路狀態(tài)合在一起就是自治系統(tǒng)的拓?fù)鋽?shù)據(jù)庫(kù)。從而形成全網(wǎng)的拓?fù)鋽?shù)據(jù)圖。根據(jù)該拓?fù)鋽?shù)據(jù)庫(kù)，每個(gè)路由器構(gòu)造一個(gè)以它為根的最短路徑樹。這棵樹給出了到達(dá)自治系統(tǒng)每個(gè)目標(biāo)網(wǎng)絡(luò)的路徑。OSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPF123456四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF

一個(gè)自治系統(tǒng)的拓?fù)鋽?shù)據(jù)庫(kù)可以用有限圖表示，在有限圖中：頂點(diǎn)有兩類，即路由器和物理網(wǎng)絡(luò)。網(wǎng)絡(luò)也可分為與多路由器連接的傳輸網(wǎng)和只與一個(gè)路由器連接的根段網(wǎng)。圖的邊有兩類：一類連接兩個(gè)路由器，表示它們之間的點(diǎn)到點(diǎn)的鏈路；另一類連接一個(gè)路由器和一個(gè)網(wǎng)絡(luò)，代表路由器直接連接在該網(wǎng)上。R1N1N3R4R2R3N45735649在自治系統(tǒng)中，每個(gè)路由器維持該自治系統(tǒng)的有限圖數(shù)據(jù)庫(kù)。根據(jù)有限圖利用Dijkstra算法，就可以計(jì)算出從它到所有的目標(biāo)網(wǎng)絡(luò)的最短距離。1OSPF的路由選擇在兩個(gè)層面進(jìn)行，低層是在自治系統(tǒng)的區(qū)內(nèi)進(jìn)行路由選擇。高層是在自治系統(tǒng)的區(qū)間進(jìn)行路由選擇，由穿越主干網(wǎng)的流量組成。為了減少主干網(wǎng)的路由選擇更新，每個(gè)區(qū)域有一個(gè)指定的區(qū)界路由器。在區(qū)域內(nèi)，每個(gè)路由器與指定的區(qū)界路由器交換鏈路狀態(tài)信息。指定區(qū)界路由器負(fù)責(zé)代表本網(wǎng)絡(luò)產(chǎn)生鏈路狀態(tài)包LSP與主干網(wǎng)交換路由信息。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4

開放最短路徑優(yōu)先路由算法的主要特點(diǎn)有：（1）OSPF可根據(jù)IP分組的不同服務(wù)類型計(jì)算出不同的最佳路由。（2）OSPF可以實(shí)現(xiàn)多路徑間的負(fù)載平衡，到達(dá)同一目標(biāo)網(wǎng)絡(luò)有多條相同距離的路徑時(shí)，可將通信量分配到不同的路徑傳輸。（3）在OSPF路由器之間交換的分組，具有鑒別功能。（4）OSPF支持可變長(zhǎng)度的子網(wǎng)掩碼和CIDR.（5）OSPF設(shè)置一個(gè)32位的鏈路狀態(tài)序號(hào)，序號(hào)越大狀態(tài)越新。四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF開放最短路徑優(yōu)先路由算法的分組類型：（1）問候分組：用來發(fā)現(xiàn)和維持鄰居的可達(dá)性關(guān)系。OSPF每隔10S進(jìn)行一次問候分組的交換，若40S內(nèi)沒應(yīng)答，則視為鄰居路由不可達(dá)。（2）數(shù)據(jù)庫(kù)描述分組：向鄰居發(fā)送自己鏈路狀態(tài)數(shù)據(jù)庫(kù)中所有鏈路狀態(tài)項(xiàng)的摘要信息。（3）鏈路狀態(tài)請(qǐng)求：向鄰居請(qǐng)求發(fā)送其鏈路狀態(tài)項(xiàng)的詳細(xì)信息。（4）鏈路狀態(tài)更新：采用洪泛法進(jìn)行整個(gè)網(wǎng)絡(luò)鏈路狀態(tài)的更新.（5）鏈路狀態(tài)確認(rèn)：對(duì)收到的鄰站發(fā)來的鏈路狀態(tài)信息進(jìn)行確認(rèn)。后邊四個(gè)分組主要是實(shí)現(xiàn)兩路狀態(tài)數(shù)據(jù)庫(kù)的同步！四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當(dāng)前采用的路由信息表的建立與更新方法：采用數(shù)據(jù)描述分組與相鄰路由器交換當(dāng)前路由器已有鏈路狀態(tài)摘要信息。摘要信息描述了當(dāng)前哪些相鄰路由器的鏈路狀態(tài)信息已經(jīng)寫入數(shù)據(jù)庫(kù)。使用鏈路狀態(tài)請(qǐng)求分組，向?qū)Ψ秸?qǐng)求發(fā)送自己缺少的鏈路狀態(tài)項(xiàng)目的詳細(xì)信息。通過反復(fù)交換，最終形成全網(wǎng)的同步鏈路數(shù)據(jù)庫(kù)。只要有一個(gè)路由的鏈路狀態(tài)發(fā)生變化，就要使用鏈路狀態(tài)更新分組，通過可靠洪泛算法進(jìn)行全網(wǎng)兩路狀態(tài)更新。如下圖四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當(dāng)前采用的路由信息表的建立與更新方法：更新報(bào)文tACK報(bào)文RRRRt1t2t3t4基于可靠洪泛法進(jìn)行更新分組ACL過濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。03ACL有兩種：標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展訪問控制列表。04利用ACL可以對(duì)經(jīng)過路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進(jìn)行過濾，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。01訪問控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。021ACL概述ACL的基本用途是限制訪問網(wǎng)絡(luò)的用戶，保護(hù)網(wǎng)絡(luò)的安全。ACL一般只在以下路由器上配置：內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。兩個(gè)功能網(wǎng)絡(luò)交界的路由器。限制的內(nèi)容通常包括：允許那些用戶訪問網(wǎng)絡(luò)。（根據(jù)用戶的IP地址進(jìn)行限制）允許用戶訪問的類型，如允許http和ftp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進(jìn)行限制）1訪問控制列表(ACL)由多條判斷語(yǔ)句組成。每條語(yǔ)句給出一個(gè)條件和處理方式（通過或拒絕）。2路由器對(duì)收到的數(shù)據(jù)包按照判斷語(yǔ)句的書寫次序進(jìn)行檢查，當(dāng)遇到相匹配的條件時(shí)，就按照指定的處理方式進(jìn)行處理。3ACL中各語(yǔ)句的書寫次序非常重要，如果一個(gè)數(shù)據(jù)包和某判斷語(yǔ)句的條件相匹配時(shí)，該數(shù)據(jù)包的匹配過程就結(jié)束了，剩下的條件語(yǔ)句被忽略。ACL的工作過程Router(config)#access-list表號(hào)處理方式條件ACL表號(hào)：用于區(qū)分各訪問控制列表。一個(gè)訪問控制列表(ACL)可由多條語(yǔ)句組成，每條ACL語(yǔ)句的形式為：01其中針對(duì)IP數(shù)據(jù)報(bào)的ACL可使用的表號(hào)為：標(biāo)準(zhǔn)訪問控制列表：1~99。擴(kuò)展訪問控制列表：100~199。同一個(gè)ACL中各語(yǔ)句的表號(hào)相同。一臺(tái)路由器中可定義多個(gè)ACL，每個(gè)ACL使用一個(gè)表號(hào)。022ACL語(yǔ)句例：access-list1permit55access-list1deny55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過。第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過。這里的地址指數(shù)據(jù)包的源地址。處理方式：取值有permit（允許）和deny（拒絕）兩種。當(dāng)數(shù)據(jù)包與該語(yǔ)句的條件相匹配時(shí)，用給定的處理方式進(jìn)行處理。條件：每條ACL語(yǔ)句只能定義一個(gè)條件。應(yīng)用ACL如果只是定義了ACL，它還不會(huì)起到任何作用，必須把ACL應(yīng)用到一個(gè)接口上才能起作用。應(yīng)用ACL：Router(config)#interface接口號(hào)Router(config-if)#ipaccess-group表號(hào)[in|out]in：表示在數(shù)據(jù)包進(jìn)入此接口時(shí)使用ACL進(jìn)行過濾。out：表示在數(shù)據(jù)包離開此接口時(shí)使用ACL進(jìn)行過濾。通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高一些。例：Router(config)#interfacee0Router(config-if)#ipaccess-group1out表示在e0口上使用表號(hào)為1的ACL對(duì)出站數(shù)據(jù)包進(jìn)行過濾。0102通配符掩碼決定了地址中的哪些位需要精確匹配，哪些為不需要匹配。通配符掩碼是一個(gè)32位數(shù)，采用點(diǎn)分十進(jìn)制方式書寫。匹配時(shí)，“0”表示檢查的位，“1”表示不檢查的位。如：55表示檢查前16位，忽略后16位，所以這個(gè)條件表示的地址是192.168.*.*。在ACL語(yǔ)句中，當(dāng)使用地址作為條件時(shí)，它的一般格式為：地址通配符掩碼。通配符掩碼any條件：當(dāng)條件為所有地址時(shí)，如果使用通配符掩碼應(yīng)寫為：55這時(shí)可以用“any”表示這個(gè)條件。如：Router(config)#access-list1permit55Router(config)#access-list1permitany上面兩個(gè)語(yǔ)句是等價(jià)的。host關(guān)鍵字：當(dāng)條件為單一IP地址時(shí)，如果使用通配符掩碼應(yīng)寫為：IP地址這時(shí)可以用“host”關(guān)鍵字定義這個(gè)條件。如：Router(config)#access-list1permitRouter(config)#access-list1permithost上面兩個(gè)語(yǔ)句是等價(jià)的。標(biāo)準(zhǔn)ACL只能使用地址作為條件。標(biāo)準(zhǔn)ACL使用數(shù)據(jù)包的源地址匹配ACL語(yǔ)句中的條件。定義標(biāo)準(zhǔn)ACL時(shí)，可使用的表號(hào)為1~99。（針對(duì)IP數(shù)據(jù)報(bào)）3標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)ACL配置舉例1R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng)要求只有來自/8、/24、/24的用戶能夠訪問。1R1#showaccess-lists2R1(config)#access-list1permit553R1(config)#access-list1permit554R1(config)#access-list1permit555R1(config)#interfacee06R1(config-if)#ipaccess-group1out配置完成后，可以用命令查看ACL：說明：在每個(gè)ACL中都隱含著一個(gè)語(yǔ)句：access-listlist-numdenyany它位于ACL的最后，表示拒絕所有。所以任何一個(gè)與前面各語(yǔ)句都不匹配的數(shù)據(jù)包都會(huì)被拒絕。在ipaccess-group語(yǔ)句中，用in或out表示入站時(shí)匹配或出站時(shí)匹配，如果沒有指定這個(gè)值，默認(rèn)為out。在每個(gè)接口、每個(gè)方向上只能應(yīng)用一個(gè)ACL。一個(gè)ACL可以應(yīng)用到多個(gè)接口上。標(biāo)準(zhǔn)ACL配置舉例2R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng)要求拒絕來自/24的用戶訪問，其它用戶都可以訪問。R1(config)#access-list1deny55R1(config)#access-list1permitanyR1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permitany語(yǔ)句不能省略，如果省略該語(yǔ)句，則所有和語(yǔ)句1不匹配的數(shù)據(jù)包都會(huì)被隱含的access-list1denyany語(yǔ)句拒絕。標(biāo)準(zhǔn)ACL配置舉例3R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng)只允許來自/24的用戶訪問，但其中和兩臺(tái)主機(jī)除外。R1(config)#access-list1denyhostR1(config)#access-list1denyhostR1(config)#access-list1permit55R1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permit192.168.2055語(yǔ)句不能寫在另兩條語(yǔ)句的前面，如果把它寫在第1句，則和因已經(jīng)滿足了條件，不會(huì)再進(jìn)行后面的匹配。說明：定義ACL時(shí)，每條語(yǔ)句都按輸入的次序加入到ACL的末尾，如果想要更改某條語(yǔ)句，或者更改語(yǔ)句的順序，只能先刪除整個(gè)ACL，再重新輸入。比如刪除表號(hào)為1的ACL：Router(config)#noaccess-list1在實(shí)際應(yīng)用中，我們往往把路由器的配置文件導(dǎo)出到TFTP服務(wù)器中，用文本編輯工具修改ACL，然后再把配置文件裝回到路由器中。010302擴(kuò)展ACL可以使用地址作為條件，也可以用上層協(xié)議作為條件。1擴(kuò)展ACL既可以測(cè)試數(shù)據(jù)包的源地址，也可以測(cè)試數(shù)據(jù)包的目的地址。2定義擴(kuò)展ACL時(shí)，可使用的表號(hào)為100~199。（針對(duì)IP數(shù)據(jù)報(bào)）34擴(kuò)展訪問控制列表擴(kuò)展ACL的語(yǔ)句：access-list表號(hào)處理方式條件表號(hào)：取值100~199。處理方式：permit（允許）或deny（拒絕）。條件：協(xié)議源地址目的地址[運(yùn)算符端口號(hào)][established]協(xié)議：用于匹配數(shù)據(jù)包使用的網(wǎng)絡(luò)層或傳輸層協(xié)議，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址通配符掩碼”的形式，也可以使用any、host關(guān)鍵字。運(yùn)算符端口號(hào)：用于匹配TCP、UDP數(shù)據(jù)包中的端口號(hào)。access-list100permittcp5555eq80表示允許來自192.168.*.*的用戶訪問位于10.*.*.*的Web站點(diǎn)。運(yùn)算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號(hào)用于對(duì)應(yīng)一種應(yīng)用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。“運(yùn)算符端口號(hào)”可匹配數(shù)據(jù)包的用途。如：“eq80”可匹配那些訪問Web網(wǎng)站的數(shù)據(jù)包。在擴(kuò)展ACL語(yǔ)句中，“運(yùn)算符端口號(hào)”可以沒有。例：在每個(gè)擴(kuò)展ACL末尾也有一條默認(rèn)語(yǔ)句：access-listlist-numdenyipanyany它會(huì)拒絕所有與前面語(yǔ)句不匹配的數(shù)據(jù)包。擴(kuò)展ACL定義后，也需要使用ipaccess-group命令應(yīng)用在指定接口上才能起作用。如：Router(config)#interfacee0Router(config-if)#ipaccess-group100out擴(kuò)展ACL配置舉例1R1E0一個(gè)局域網(wǎng)連接在路由器R1的E0口，這個(gè)局域網(wǎng)只允許Web通信流量和Ftp通信流量，其它都拒絕。R1(config)#access-list100permittcpanyanyeq80R1(config)#access-list100permittcpanyanyeq20R1(config)#access-list100permittcpanyanyeq21R1(config)#interfacee0R1(config-if)#ipaccess-group100out說明：標(biāo)準(zhǔn)FTP協(xié)議使用了兩個(gè)端口，21用于建立FTP連接，20用于數(shù)據(jù)傳輸。No.3說明：例1的配置將會(huì)極大限制局域網(wǎng)和外網(wǎng)間的應(yīng)用，它會(huì)拒絕除Web和Ftp外的所有應(yīng)用（包括ICMP、DNS、電子郵件等），也會(huì)拒絕那些沒有使用標(biāo)準(zhǔn)端口的Web和Ftp應(yīng)用。在實(shí)際應(yīng)用中，我們通常只對(duì)那些可能有害的訪問作出拒絕限制，或者限制用戶訪問某些有害的站點(diǎn)或服務(wù)。No.2No.1擴(kuò)展ACL配置舉例2R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止外網(wǎng)用戶用Telnet遠(yuǎn)程登錄本路由器。S0192.168.*.*/24/24R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100in說明：這里使用了禁止對(duì)兩個(gè)接口進(jìn)行Telnet的數(shù)據(jù)包進(jìn)入S0口的方法阻斷來自外網(wǎng)的Telnet請(qǐng)求。由于對(duì)E0口沒有限制，所以它不影響來自內(nèi)網(wǎng)的Telnet請(qǐng)求。擴(kuò)展ACL配置舉例3R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，1是一個(gè)有害的Web網(wǎng)站，禁止內(nèi)網(wǎng)用戶訪問該網(wǎng)站。S0192.168.*.*/24/24R1(config)#access-list100denytcp55host1eq8001R1(config)#access-list100permitipanyany02R1(config)#interfacee003R1(config-if)#ipaccess-group100in04擴(kuò)展ACL配置舉例4R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止對(duì)S0口的ping操作。S0192.168.*.*/24/24PTN光傳輸設(shè)備開局與維護(hù)重電通信工程學(xué)院說明：ping命令使用的是ICMP協(xié)議，但I(xiàn)CMP除了具有網(wǎng)絡(luò)探查功能外，還需要用它傳輸各種錯(cuò)誤信息，所以在路由器上不應(yīng)該禁止該協(xié)議。如果想要禁止ping，最好使用專用的防火墻。R1(config)#access-list100denyicmpanyhostR1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100inPTN光傳輸設(shè)備開局與維護(hù)重電通信工程學(xué)院01命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個(gè)符號(hào)串作為ACL的名字，不再使用表號(hào)。命名ACL也有標(biāo)準(zhǔn)ACL和擴(kuò)展ACL兩種，一個(gè)命名ACL只能是其中的一種。02035命名訪問控制列表命名ACL配置方法Router(config)#ipaccess-list{standard|extended}namestandard：定義標(biāo)準(zhǔn)命名ACL。extended：定義擴(kuò)展命名ACL。name：ACL的名字，可自定義。該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語(yǔ)句。命名ACL語(yǔ)句格式：處理方式條件。它只比以前的ACL少了前面的“access-list表號(hào)”部分，其它都相同。例1配置標(biāo)準(zhǔn)命名ACLR1E0要求拒絕來自/24的數(shù)據(jù)包通過S0口進(jìn)入路由器，其它都允許。S0R1(config)#ipaccess-liststandardlist1R1(config-std-nacl)#permitanyR1(config)#interfaces0R1(config-std-nacl)#deny55R1(config-std-nacl)#exitR1(config-if)#ipaccess-grouplist1inlist1是訪問控制列表的名字。123456命名ACL在修改上略好于一般的ACL，進(jìn)入一個(gè)ACL的模式后，我們可以使用“no”命令刪除某一個(gè)表項(xiàng)。但如果想要調(diào)整各表項(xiàng)的次序，還是需要?jiǎng)h除整個(gè)ACL，再重新輸入。0102例2配置擴(kuò)展命名ACLR1E0S0192.168.*.*/24/24禁止內(nèi)網(wǎng)用戶訪問地址為1的Web網(wǎng)站。R1(config)#ipaccess-listextendedlist2R1(config-ext-nacl)#denytcp55host1eq80R1(config-ext-nacl)#permitanyR1(config-ext-nacl)#exitR1(config)#interfacee0R1(config-if)#ipaccess-grouplist2inACL應(yīng)用在不同接口、不同方向上會(huì)有不同效果。標(biāo)準(zhǔn)ACL不能指定目的地址，一般應(yīng)放置在離目的地最近的接口上。擴(kuò)展ACL一般應(yīng)放置在離被拒絕的流量來源最近的地方。由于一般的通信都需要雙向傳輸信號(hào)，所以使用入站檢測(cè)和出站檢測(cè)在效果上往往一樣，通常使用出站檢測(cè)時(shí)被檢查的數(shù)據(jù)包數(shù)量要少一些。0103026正確放置訪問控制列表QOS技術(shù)1.QOS的基本概念I(lǐng)PQoS是指IP網(wǎng)絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（FR、ATM、Ethernet、SDH等）的IP網(wǎng)絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。QoS包括多個(gè)方面的內(nèi)容，如帶寬、時(shí)延、時(shí)延抖動(dòng)等.QoS需要完成以下的工作： 避免并管理IP網(wǎng)絡(luò)擁塞 減少IP報(bào)文的丟包率 調(diào)控I