PTN分組傳送設(shè)備組網(wǎng)與實訓(xùn) 第2版 課件全套 任務(wù)1-16 認(rèn)識光傳輸網(wǎng)絡(luò)、IP地址與子網(wǎng)劃分- PTN之性能維護與故障處理

單元1傳輸網(wǎng)的位置和層次

傳輸網(wǎng)絡(luò)的產(chǎn)生傳輸網(wǎng)的位置和層次用戶間直接連接通信傳輸網(wǎng)絡(luò)的產(chǎn)生用戶間通過交換設(shè)備連接傳輸網(wǎng)的位置和層次傳輸網(wǎng)的位置接入網(wǎng)接入網(wǎng)CPNCPN

用戶所在地網(wǎng)絡(luò)交換機交換機傳輸網(wǎng)用戶所在地網(wǎng)絡(luò)傳輸網(wǎng)是由傳輸節(jié)點設(shè)備和傳輸介質(zhì)共同構(gòu)成的網(wǎng)絡(luò)傳輸網(wǎng)位于交換節(jié)點之間傳輸網(wǎng)服務(wù)于各業(yè)務(wù)網(wǎng)和電信支持網(wǎng)，能對業(yè)務(wù)進行安全的、長距離、大容量地傳輸傳輸網(wǎng)的位置和層次傳輸網(wǎng)絡(luò)的分層骨干層一級干線：連接省會城市、直轄市間的交換節(jié)點二級干線：連接連接省內(nèi)各地市之間的交換節(jié)點城域網(wǎng)核心層：接入容量高、高可靠性和超強的網(wǎng)絡(luò)保護能力匯聚層：帶寬的動態(tài)分配，分等級的業(yè)務(wù)保護能力接入層：多種接口來滿足不同用戶的需求傳輸網(wǎng)的位置和層次城域傳輸網(wǎng)傳輸網(wǎng)的位置和層次WDMWDM—將攜帶不同信息的多個光載波復(fù)合到一根光纖中進行傳輸。CWDM使用1510/1310兩波長系統(tǒng)DWDM（DenseWavelengthDivisionMultiplexing）在1550nm窗口，采用更多波長進行波分復(fù)用(8,16…)傳輸網(wǎng)的位置和層次DWDM的地位IPATMSDHDWDM光纖物理層OpenOpticalInterfaceSDHATMIP其它傳輸網(wǎng)的位置和層次OTNOTN：OpticalTransportNetwork（光傳送網(wǎng)絡(luò)）是以波分復(fù)用技術(shù)為基礎(chǔ)、在光層組織網(wǎng)絡(luò)的傳送網(wǎng)，是下一代的骨干傳送網(wǎng)。OTN將解決傳統(tǒng)WDM網(wǎng)絡(luò)無波長/子波長業(yè)務(wù)調(diào)度能力、組網(wǎng)能力弱、保護能力弱等問題。傳輸網(wǎng)的位置和層次PTNPTN(PacketTransportNetwork)是一種以分組作為傳送單位，承載電信級以太網(wǎng)業(yè)務(wù)為主，兼容TDM、ATM和FC等業(yè)務(wù)的綜合傳送技術(shù)。傳輸網(wǎng)的位置和層次單元2IP地址分類/子網(wǎng)劃分/VLAN技術(shù)重電通信工程學(xué)院TCP/IP體系結(jié)構(gòu)TCP/IP基礎(chǔ)TCP/IP體系和OSI模型對比TCP/IP基礎(chǔ)TCP/IP協(xié)議族TCP/IP基礎(chǔ)TCP/IP基礎(chǔ)傳輸控制協(xié)議TCP

傳輸控制協(xié)議TCP是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議，它通過序列號確認(rèn)機制和包重發(fā)機制，提供可靠的數(shù)據(jù)流發(fā)送和到應(yīng)用程序的虛擬連接服務(wù)。IP協(xié)議IP協(xié)議采用無連接的數(shù)據(jù)包服務(wù)機制，在對數(shù)據(jù)的傳輸處理上，只盡最大努力地傳輸數(shù)據(jù)包，無論傳輸正確與否，都只將分組盡量往目的地傳輸，既不做驗證，也不發(fā)確認(rèn)，也不保證分組的正確順序。

IPv4地址十進制轉(zhuǎn)換二進制例如：200=（11001000）200/2=100=====余0100/2=50======余050/2=25=======余025/2=12=======余112/2=6========余06/2=3=========余03/2=1=========余11/2=0=========余1十進制整數(shù)轉(zhuǎn)換為二進制整數(shù)采用"除2取余，逆序排列"法。IPv4地址二進制轉(zhuǎn)十進制按權(quán)相加法，即將二進制每位上的數(shù)乘以權(quán)，然后相加之和即是十進制數(shù)1、如果第八個位等于1，則向總數(shù)增加128。2、如果第七個位等于1，則向總數(shù)增加64。3、如果第六個位等于1，則向總數(shù)增加32。4、如果第五個位等于1，則向總數(shù)增加16。5、如果第四個位等于1，則向總數(shù)增加8。6、如果第三個位等于1，則向總數(shù)增加4。7、如果第二個位等于1，則向總數(shù)增加2。8、如果第一個位等于1，則向總數(shù)增加1。IPv4地址IPv4地址分類

10NNNNNNNHost891617242532HostHostClassA:Range(1-126)10NNNNNNNetworkHostHostClassB:Range(128-191)110NNNNNNetworkNetworkHostClassC:Range(192-223)1110MMMMMulticastGroupMulticastGroupMulticastGroupClassD:Range(224-239)IPv4地址保留IP地址用于本地廣播，也稱有限廣播，無須知道本地網(wǎng)絡(luò)地址55RIP協(xié)議中用它指定默認(rèn)路由，路由表中信宿的網(wǎng)絡(luò)號為用于廣播，也稱定向廣播，需要指定目標(biāo)網(wǎng)絡(luò)全1主機地址用于指定網(wǎng)絡(luò)本身，稱之為網(wǎng)絡(luò)地址或者網(wǎng)絡(luò)號全0主機地址指本地節(jié)點(一般為)，用于測試網(wǎng)卡及TCP/IP軟件，這樣浪費了1700萬個地址網(wǎng)絡(luò)只在系統(tǒng)啟動時有效，用于啟動時臨時通信全0網(wǎng)絡(luò)地址用途地址IPv4地址私有IP地址私網(wǎng)地址范圍:~55~55~55子網(wǎng)劃分主機地址數(shù)量子網(wǎng)劃分沒有子網(wǎng)的編址…...5354…...子網(wǎng)劃分帶子網(wǎng)劃分的編址子網(wǎng)劃分子網(wǎng)劃分以后00E060E10050172.162160NetworkHost..SubnetNetworkInterfaceE0E1NewRoutingTable子網(wǎng)劃分子網(wǎng)掩碼1 0 0 0 0 0 0 0 1281 1 0 0 0 0 0 0 1921 1 1 0 0 0 0 0 2241 1 1 1 0 0 0 0 2401 1 1 1 1 0 0 0 2481 1 1 1 1 1 0 0 2521 1 1 1 1 1 1 0 2541 1 1 1 1 1 1 1 255128 64 32 16 8 4 2 1子網(wǎng)劃分子網(wǎng)劃分的子網(wǎng)掩碼172.16.2.16010101100000100000000001010100000NetworkSubnetHost255.255.255.011111111111111111111111100000000NetworkNumber10101100000100000000001000000000172.16.2.0網(wǎng)絡(luò)位增加8位子網(wǎng)劃分子網(wǎng)劃分的子網(wǎng)掩碼172.16.2.16010101100000100000000001010100000NetworkSubnetHost255.255.255.19211111111111111111111111111000000NetworkNumber10101100000100000000001010000000172.16.2.192網(wǎng)絡(luò)位增加10位子網(wǎng)劃分變長子網(wǎng)掩碼VLSM子網(wǎng)/24被劃分為更小的子網(wǎng)以適應(yīng)網(wǎng)絡(luò)的需求并避免了IP地址的浪費，需要路由協(xié)議支持。

2/27

BAHQ/24/24/16

32/30center4/27

6/27

36/3040/30IP地址規(guī)劃IP地址規(guī)劃IP地址規(guī)劃IP地址規(guī)劃舉例拓展與提高VLSM機制CIDR路由匯總思政的關(guān)系:

可增強通信業(yè)務(wù)的安全性,VLAN可以隔離不同的用戶,加強通信安全,當(dāng)前,不少別有用心的人竊取通信信息,利用高科技犯罪,給國家和社會帶來不良的后果,通信網(wǎng)絡(luò)必須加強信息通信的保密性和安全性。VLAN技術(shù)是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組。VLAN技術(shù)VLAN技術(shù)以太網(wǎng)交換機工作原理PC1PC2交換機根據(jù)收到數(shù)據(jù)幀中的源MAC地址建立MAC地址表。如數(shù)據(jù)幀中的目的MAC地址不在MAC地址表中，則向所有端口轉(zhuǎn)發(fā)。廣播幀和組播幀向所有的端口轉(zhuǎn)發(fā)。

交換機將數(shù)據(jù)幀中的目的MAC地址同MAC地址表進行比較，以決定由哪個端口進行轉(zhuǎn)發(fā)。

以太網(wǎng)交換機廣播的危害VLAN技術(shù)分割廣播域VLAN技術(shù)VLAN定義VLAN（VirtualLocalAreaNetwork）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的技術(shù)。

VLAN技術(shù)VLAN的特點區(qū)段化VLAN可以將單一的廣播域分割成多個廣播域，相當(dāng)于在物理上分隔出多個單獨的網(wǎng)絡(luò)。靈活性VLAN的配置成員的添加修改移除都是在交換機上實現(xiàn)的，無需更改物理網(wǎng)絡(luò)與增添新設(shè)備及更改布線系統(tǒng)。安全性將一個網(wǎng)絡(luò)劃分VLAN以后，VLAN間的通信是在受控的方式下完成的。用戶想加入某一個vlan需要管理員在交換機上進行配置后才能加入特定的vlan，具有很高的安全性。VLAN技術(shù)基于端口的劃分1234市場部財務(wù)部交換機vlan10vlan20aaabbbcccdddVlan10p1p2Vlan20p3p4VLAN技術(shù)VLAN技術(shù)12341234交換機1交換機2市場部市場部財務(wù)部財務(wù)部

報文vlan1055vlan10vlan10vlan20vlan20vlan10vlan20?VLAN技術(shù)VLAN技術(shù)12341234交換機1交換機2市場部市場部財務(wù)部財務(wù)部55vlan10vlan10vlan20vlan20vlan10vlan20AAAAAAAATT報文Vlanuntagtag10p1,p2p520p3,p4p5報文v10Vlanuntagtag10p1,p2p520p3,p4p5報文VLAN技術(shù)報文的類型MACIP數(shù)據(jù)MACIP數(shù)據(jù)Vlan標(biāo)識不帶標(biāo)簽的報文untag帶標(biāo)簽的報文tagVLAN技術(shù)端口類型AccessATrunkT發(fā)送不帶標(biāo)簽的報文一般與pc、server相連時使用發(fā)送帶標(biāo)簽的報文一般用于交換機級聯(lián)端口傳遞多組vlan信息時使用VLAN技術(shù)端口類型VLAN技術(shù)Access端口收報文:收到一個報文,判斷是否有VLAN信息：如果沒有則打上端口的PVID，并進行交換轉(zhuǎn)發(fā),如果有則直接丟棄（缺省）發(fā)報文：將報文的VLAN信息剝離，直接發(fā)送出去trunk端口收報文：收到一個報文，判斷是否有VLAN信息：如果沒有則打上端口的PVID，并進行交換轉(zhuǎn)發(fā)，如果有判斷該trunk端口是否允許該VLAN的數(shù)據(jù)進入：如果可以則轉(zhuǎn)發(fā)，否則丟棄發(fā)報文：比較端口的PVID和將要發(fā)送報文的VLAN信息，如果兩者相等則剝離VLAN信息，再發(fā)送，如果不相等則直接發(fā)送hybrid端口收報文：收到一個報文,判斷是否有VLAN信息：如果沒有則打上端口的PVID，并進行交換轉(zhuǎn)發(fā)，如果有則判斷該hybrid端口是否允許該VLAN的數(shù)據(jù)進入：如果可以則轉(zhuǎn)發(fā)，否則丟棄(此時端口上的untag配置是不用考慮的，untag配置只對發(fā)送報文時起作用)發(fā)報文：1、判斷該VLAN在本端口的屬性（dispinterface即可看到該端口對哪些VLAN是untag，哪些VLAN是tag）2、如果是untag則剝離VLAN信息，再發(fā)送，如果是tag則直接發(fā)送802.1Q/P協(xié)議VLAN標(biāo)識，最大可以有4094（2^12-2）個VLAN,0不表示VLAN標(biāo)識。VLAN技術(shù)進階與拓展VLAN技術(shù)QinQ技術(shù)

定義：QinQ（802.1Q-in-802.1Q）技術(shù)是一項擴展VLAN空間的技術(shù)，通過在802.1Q標(biāo)簽報文的基礎(chǔ)上再增加一層802.1Q的Tag來達到擴展VLAN空間的功能，可以使私網(wǎng)VLAN透傳公網(wǎng)。由于在骨干網(wǎng)中傳遞的報文有兩層802.1QTag（一層公網(wǎng)Tag，一層私網(wǎng)Tag），即802.1Q-in-802.1Q，所以稱之為QinQ協(xié)議。目的：IEEE802.1Q中定義的VLANTag域只有12個比特，僅能表示4096個VLAN，無法滿足以太網(wǎng)中標(biāo)識大量用戶的需求。QinQ是通過在原有的802.1Q報文的基礎(chǔ)上增加一層802.1Q標(biāo)簽來實現(xiàn)的，使得VLAN數(shù)量增加到094×4094，擴展了VLAN空間。內(nèi)外層標(biāo)簽可以代表不同的信息，如內(nèi)層標(biāo)簽代表用戶，外層標(biāo)簽代表業(yè)務(wù)。另外，QinQ報文帶著兩層Tag穿越公網(wǎng)時，內(nèi)層Tag透明傳送，也是一種簡單、實用的VPN技術(shù)。單元3路由、ACL與QoS通信技術(shù)教研室

3.1路由選擇與路由器的原理

3.2路由協(xié)議與自治系統(tǒng)

3.3路由信息協(xié)議RIP

3.4OSPF內(nèi)部路由協(xié)議與BGP外部路由協(xié)議在廣域網(wǎng)中，最基本的通信設(shè)備是組成通信子網(wǎng)的路由器，路由器通過點到點的長距離鏈路互連，有多個輸入和輸出端口，主機通過點到點的鏈路與路由器相連．從一個源端到達目標(biāo)端由許多條路徑，那么如何選擇一條最佳路徑進行數(shù)據(jù)的傳輸呢？路由器的主要功能是對主機要傳輸?shù)臄?shù)據(jù)進行存儲和轉(zhuǎn)發(fā)，為此，就必須為其在眾多的網(wǎng)絡(luò)路徑中選擇一條最優(yōu)路徑，這就是路由選擇．路由選擇是路由器最主要的功能之一．路由選擇（1）路由器的構(gòu)成路由器是一種具有多個輸入端口和多個輸出端口的專用計算機，其任務(wù)是轉(zhuǎn)發(fā)分組。也就是說，將路由器某個輸入端口收到的分組，按照分組要去的目的網(wǎng)絡(luò)，把該分組從路由器的某個合適的輸出端口轉(zhuǎn)發(fā)給下一跳路由器。下一跳路由器也按照這種方法處理分組，直到該分組到達終點為止。它負(fù)責(zé)數(shù)據(jù)報的分段功能，通過執(zhí)行路由協(xié)議和路由算法實現(xiàn)路由表信息的交換和計算更新與維護１．路由選擇的基本概念Cisco7202路由器Cisco7606路由器Cisco7600路由器(1)路由器的構(gòu)成

１．路由選擇的基本概念課件制作人：謝希仁謝鈞路由選擇路由選擇處理機路由選擇協(xié)議路由表3輸入端口3交換結(jié)構(gòu)輸入端口輸出端口分組轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)表分組處理輸出端口……11133122223——網(wǎng)絡(luò)層2——數(shù)據(jù)鏈路層1——物理層1“轉(zhuǎn)發(fā)”(forwarding)就是路由器根據(jù)轉(zhuǎn)發(fā)表將用戶的IP數(shù)據(jù)報從合適的端口轉(zhuǎn)發(fā)出去。2“路由選擇”(routing)則是按照分布式算法，根據(jù)從各相鄰路由器得到的關(guān)于網(wǎng)絡(luò)拓?fù)涞淖兓闆r，動態(tài)地改變所選擇的路由。3路由表是根據(jù)路由選擇算法得出的。而轉(zhuǎn)發(fā)表是從路由表得出的。4在討論路由選擇的原理時，往往不去區(qū)分轉(zhuǎn)發(fā)表和路由表的區(qū)別5若路由器處理分組的速率小于分組進入隊列的速率，則隊列的存儲空間最終必定會填滿，這就使后面進入隊列分組由于沒有存儲空間而只能被丟棄。6路由器中的輸入或輸出隊列產(chǎn)生溢出是造成分組丟失的重要原因。(1)路由器的構(gòu)成

１．路由選擇的基本概念１．路由選擇的基本概念(2)路由表：路由表：每個路由器都有一個路由表，路由表是路由器進行路由選擇的主要依據(jù)，路由表必須包含所有可能的目標(biāo)網(wǎng)絡(luò)地址和到達該目標(biāo)網(wǎng)絡(luò)地址的最優(yōu)路徑的下一站IP地址．路由表告訴路由器向哪個邏輯網(wǎng)段發(fā)送數(shù)據(jù)信息和用哪個路由器轉(zhuǎn)發(fā)這些數(shù)據(jù)信息。(3）靜態(tài)路由:是指路由表在由人工配置和計算之后不再改變的路由信息組織方式．當(dāng)網(wǎng)絡(luò)發(fā)生變化時，必須由人工進行更新和配置．采用靜態(tài)路由，從原主機到目標(biāo)主機的所有數(shù)據(jù)都按同一條路徑傳輸，靜態(tài)路由它要求網(wǎng)絡(luò)管理人員預(yù)先定義要通信的所有邏輯網(wǎng)絡(luò)，它通過指定默認(rèn)路由器，轉(zhuǎn)發(fā)所有未定義目標(biāo)網(wǎng)絡(luò)的通信．這種路由表的組織形式最大的優(yōu)點就是簡單，但是也有缺點：不夠靈活，無法處理因網(wǎng)路拓?fù)渥兓蛽砣收献鞒龇磻?yīng)．一、路由選擇一、路由選擇路由選擇的基本概念動態(tài)路由：當(dāng)網(wǎng)絡(luò)變化時路由表要隨時更新，稱為動態(tài)路由．動態(tài)路由的實現(xiàn)取決于如下兩個基本功能：交換路由信息：由路由協(xié)議來解決，它規(guī)定路由信息的交換，包括如何傳遞路由信息的更新，傳遞什么等計算、更新和維護路由表：由路由算法來解決，路由算法計算更新路由表的目標(biāo)是使表中包含最優(yōu)路徑．路由選擇的基本原理:由誰來選擇：路由器一、路由選擇路由選擇的基本原理:什么時侯選擇：取決于采用的數(shù)據(jù)交換方式，數(shù)據(jù)報需要在每個包到達路由器時單獨選擇路由；虛電路僅在建立虛電路時選擇路經(jīng)，以后數(shù)據(jù)傳輸不須再進行路由選擇．什么是最優(yōu)路徑：路經(jīng)最優(yōu)有不同的度量方式，可基于某一鏈路特征，也可由多個特征組成，鏈路特征有：帶寬時延可靠性負(fù)載跳數(shù)費用上述特性都可用數(shù)字表示，即用“距離”表示二、路由協(xié)議及自治系統(tǒng)路由協(xié)議：路由器交換路由信息的約定。路由器的主要職責(zé)是接收IP數(shù)據(jù)報，按照數(shù)據(jù)報的目標(biāo)網(wǎng)絡(luò)地址進行進行路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)。為了進行動態(tài)路由選擇，路由器之間必須進行交換路由信息，有了路由信息才能進行計算和構(gòu)造路由表。路由器之間進行路由信息交換的約定，就是路由協(xié)議。Internet路由協(xié)議根據(jù)所適用的范圍可分為兩類：內(nèi)部路由協(xié)議IRP（InteriorRouterProtocol）外部路由協(xié)議ERP（ExteriorRouterProtocol）內(nèi)部路由協(xié)議IRP：也稱為內(nèi)部網(wǎng)關(guān)協(xié)議IGP，是一個自治系統(tǒng)內(nèi)路由器之間交換路由信息使用的協(xié)議。主要有：路由信息協(xié)議RIP（RouterInformationProtocol）、路由信息協(xié)議RIP-2、開放最短路徑優(yōu)先協(xié)議OSPF（OpenShortestPathProtocol）和ISO網(wǎng)際互連協(xié)議（中間系統(tǒng)到中間系統(tǒng)協(xié)議IS-IS和端接系統(tǒng)到中間系統(tǒng)協(xié)議ES-IS）。前三個協(xié)議是TCP/IP協(xié)議族的一部分，只能路由IP分組，ISO網(wǎng)際互連協(xié)議可以路由IP分組和OSI無連接網(wǎng)絡(luò)層協(xié)議ISOCNLP分組。外部路由協(xié)議ERP：也稱為外部網(wǎng)關(guān)協(xié)議EGP（ExteriorGatewayProtocol）是不同自治系統(tǒng)的路由器之間交換信息使用的協(xié)議。外部路由協(xié)議主要是邊界網(wǎng)關(guān)路由協(xié)議:BGP（BorderGatewayprotocol）。01021、路由協(xié)議：路由器交換路由信息的約定。二、路由協(xié)議及自治系統(tǒng)Internet互連網(wǎng)絡(luò)是由許多單獨管理和運行的互連網(wǎng)組成。從路由計算的角度看，Internet是由許多的自治系統(tǒng)AS（AutonomousSystem）互連而成。所謂自治系統(tǒng)就是指由一些路由器連接而成的互聯(lián)網(wǎng)，這些路由器是在單一機構(gòu)的管理和操作之下，獨立地運行。每個自治系統(tǒng)獨立地采用自己的路由算法和路由協(xié)議，實行獨立的管理。01自制系統(tǒng)的劃分就是可以實現(xiàn)分層次的路由選擇，以便解決大規(guī)模網(wǎng)絡(luò)環(huán)境下巨大路由表信息交換問題和各部門內(nèi)部網(wǎng)絡(luò)拓?fù)潆[藏保護問題。自治系統(tǒng)路由器使用一種內(nèi)部路由選擇協(xié)議和共同的度量來確定內(nèi)部路由，同時強調(diào)一個AS對于其他AS表現(xiàn)出的是一個獨立和統(tǒng)一的路由選擇策略。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)外部網(wǎng)關(guān)自治系統(tǒng)的基本概念I(lǐng)NTERNET06主機連接點04自治系統(tǒng)01物理網(wǎng)絡(luò)03核心網(wǎng)絡(luò)05內(nèi)部網(wǎng)關(guān)02Internet中許多的自治系統(tǒng)AS都十分的龐大，為了實現(xiàn)更好的區(qū)域管理，自治系統(tǒng)可進一步劃分為若干個區(qū)（Area）。每個區(qū)是由相連的一組網(wǎng)絡(luò)和與這組網(wǎng)絡(luò)之一連接的路由器組成。區(qū)與區(qū)的網(wǎng)絡(luò)不重疊。每個區(qū)有它自己的拓?fù)鋽?shù)據(jù)庫和有向圖。網(wǎng)絡(luò)細(xì)節(jié)在區(qū)外不可見，區(qū)內(nèi)的路由器也不知道區(qū)外的詳細(xì)拓?fù)?。這種信息的隔離可以減少路由信息的流量。01每個自治系統(tǒng)都有一個核心主干區(qū)，編號為0。所有其他區(qū)都與主干區(qū)相連，從自治系統(tǒng)的任何一個區(qū)可通過主干區(qū)到達另一區(qū)。主干區(qū)由不包含任一區(qū)的物理網(wǎng)絡(luò)、與其相連的路由器以及屬于多個區(qū)的路由器組成。主干區(qū)的拓?fù)湓谥鞲蓞^(qū)外不可見。其示意圖如圖所示。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)

2、自治系統(tǒng)的基本概念

R1N1N2N3N4R2R3R4R6N11N10N9R9R10R11N6N8N7R8R10R7R5N12N13N14N12N15區(qū)1區(qū)2區(qū)3自治系統(tǒng)內(nèi)部路由器：完全在自治系統(tǒng)的區(qū)內(nèi)，這類路由器對于本區(qū)的內(nèi)部路由以及本區(qū)的區(qū)界路由運行相同路由算法。區(qū)界路由器：連接兩個或多個區(qū)，它們除了運行本區(qū)的基本路由算法外，還要運行相連區(qū)的多個復(fù)制路由信息，同時也要運行主干區(qū)的路由信息。主干路由器：由所有的區(qū)界路由器和主干區(qū)內(nèi)部路由器組成。在全部主干路由器上運行基本路由算法時，兩個區(qū)界路由器可能有通過不同區(qū)的幾條不同路徑，這些路徑應(yīng)分別計算并進行比較，找出最短路徑。自治系統(tǒng)的邊界路由器：與其他自治系統(tǒng)的邊界路由器交換外部信息。自治系統(tǒng)的邊界路由器可以是內(nèi)部路由器、區(qū)界路由器也可以是主干路由器。2、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是由Xerox網(wǎng)絡(luò)系統(tǒng)的路由協(xié)議發(fā)展而來的。RIP在1982年綁定為TCP/IP協(xié)議族的一部分而成為IP路由的事實標(biāo)準(zhǔn)。RIP實現(xiàn)在自治系統(tǒng)內(nèi)部執(zhí)行路由功能。每個路由器向其鄰居傳送整個路由表。當(dāng)自治系統(tǒng)變大后，其實用性就大大減弱。在小型的同構(gòu)網(wǎng)絡(luò)中，RIP是一個非常有效的路由協(xié)議。RIP每30秒鐘廣播一次路由表更新消息來更新路由信息。一個RIP設(shè)備收到更新后，將它當(dāng)前的信息與接收到的更新信息進行比較。當(dāng)更新路由信息包含下列條目之一時一條包含以前從未到達的目標(biāo)路由和相應(yīng)的距離信息（發(fā)現(xiàn)新的目的地）一條具有更小代價的到達一個已知目的地的新的路由（發(fā)現(xiàn)新的路徑）一條到已知目的地的已知路由具有新的代價。（已有路徑上更新最佳距離）三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是基于距離向量路由算法，RIP每一個路由器維護一個到達其他每一個目標(biāo)網(wǎng)絡(luò)的距離記錄，即距離向量。RIP的“距離”概念是指：路由器直接連接的網(wǎng)絡(luò)距離為1，到非直接連接的網(wǎng)絡(luò)距離定義為所經(jīng)過的路由器數(shù)，即我們所說的“跳數(shù)”。距離越短，表明到達目標(biāo)網(wǎng)絡(luò)的跳數(shù)越少，路徑越短。RIP允許一條路徑最大只能包含16個路由器跳數(shù)，如果一個目標(biāo)網(wǎng)絡(luò)需要經(jīng)過16跳才能到達，那么RIP認(rèn)為該路由器不可達。RIP是一種分布式路由選擇協(xié)議，其特點如下：僅和相鄰路由器交換路由信息【和誰交換】交換當(dāng)前路由器所有的路由信息，即自己的路由表[交換什么]按照固定時間進行路由信息交換。[什么時間交換]RIP使用定時器來解決鏈路失效和相鄰路由失效問題。若180秒內(nèi)當(dāng)前路由器沒有收到相鄰路由器的任何信息，RIP認(rèn)為該相鄰路由器或鏈路失效。當(dāng)前路由器作出判定后，該路由器就向它的其他相鄰路由器發(fā)送關(guān)于這個失效的消息。隨后對路由表中包含經(jīng)過失效路由或鏈路的路由信息進行更改。RIP采用的是一種迭代學(xué)習(xí)的路由表建立算法，路由表主要包括：目標(biāo)網(wǎng)絡(luò)地址、到達該目標(biāo)網(wǎng)絡(luò)的最短距離、應(yīng)該經(jīng)過的下一跳IP地址。RIP所采用的距離向量路由算法具有收斂速度慢、計數(shù)無限、路由循環(huán)等問題,RIP采用了一些策略：水平分割、帶毒性逆轉(zhuǎn)水平分割、抑制方法。0103021、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIP收到相鄰路由器（其地址為X）的一個RIP報文：解釋：假如相鄰路由器X=交換RIP報文中包含“，3，”，即我經(jīng)過路由器端口，到達目標(biāo)網(wǎng)絡(luò)的距離是3.收到信息的路由器就把RIP報文改為：“，4，”，然后執(zhí)行下一步。RIP的路由信息更新原理：先修改此RIP報文中的所有項目：把“下一跳”字段中的地址都改為X，并把所有的“距離”字段的值加1。對修改后的RIP報文中的每一個項目，重復(fù)以下步驟：三、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP的路由信息更新原理：IF當(dāng)前路由表中沒有包含目標(biāo)網(wǎng)絡(luò)N，THEN把該項目加到路由表中。ELSEIF原路由表中到達目標(biāo)網(wǎng)絡(luò)N的下一跳地址是X，THEN把收到的RIP信息替換原路由表中的信息。ELSEIF收到RIP中的距離小于路由表中的距離，THEN進行更新，ELSE，什么也不做。ENDIF;ENDIF;ENDIF.若3分鐘還沒有收到相鄰路由器的更新路由表，則把此相鄰路由器記為不可達路由器，即將距離置為16。(4)返回。三、路由信息協(xié)議RIP

2、路由信息協(xié)議RIP-2RIP在最初設(shè)計的時候并沒有考慮支持自治系統(tǒng)、子網(wǎng)和認(rèn)證，也不能解析邊界網(wǎng)關(guān)路由協(xié)議BGP。為了解決上述問題，1998年對原來的RIP進行了擴充，形成了RIP-2。在RIP分組協(xié)議格式中，保留了幾個未使用字段，在RIP-2中對其進行擴充。如紅色部分所示：命令1字節(jié)版本號1字節(jié)未使用2字節(jié)AFI2字節(jié)路由標(biāo)記2字節(jié)IP地址4字節(jié)子網(wǎng)掩碼4字節(jié)下一跳4字節(jié)量度4字節(jié)RIP-2增加的信息包括路由標(biāo)記認(rèn)證信息，使得本路由器可以確認(rèn)獲得的信息來自合法的鄰居信息。同時增加了子網(wǎng)掩碼字段，以支持可變長的子網(wǎng)劃分。RIP-2協(xié)議格式字段的含義：實現(xiàn)認(rèn)證AFI：如果RIP分組的第一個信息的AFI字段是FFFF，那么表示該信息是一個認(rèn)證分組。目前RIP－2只支持簡單的密碼認(rèn)證。路由標(biāo)記字段：路由標(biāo)記字段使得RIP可以區(qū)分內(nèi)部RIP路由和外部RIP路由。它們通常從外部網(wǎng)關(guān)協(xié)議BGP或另一個內(nèi)部網(wǎng)關(guān)協(xié)議如OSPF導(dǎo)入。IP地址：指示目標(biāo)網(wǎng)絡(luò)的IP地址子網(wǎng)掩碼：RIP-2不象RIP那樣僅支持相同的子網(wǎng)路由，它可以支持變長的子網(wǎng)地址。在Internet網(wǎng)絡(luò)中，網(wǎng)絡(luò)地址中包含子網(wǎng)標(biāo)識。路由器在進行路由選擇時也要依靠子網(wǎng)地址來確定路由。子網(wǎng)地址字段包含子網(wǎng)掩碼，應(yīng)用子網(wǎng)掩碼來生成網(wǎng)絡(luò)地址。2、路由信息協(xié)議RIP-2三、路由信息協(xié)議RIP路由信息協(xié)議RIP路由信息協(xié)議RIP-2下一跳字段：該字段表示包含目標(biāo)地址的分組將被轉(zhuǎn)發(fā)的下一站的IP地址。該字段可以避免IP分組被額外的跳轉(zhuǎn)路由。量度：RIP-2實現(xiàn)組播功能。而不是象RIP采用廣播功能。這樣可以減少不監(jiān)聽RIP－2分組的主機負(fù)擔(dān)。RIP-2改進了RIP的性能，但是由于有16跳的限制，它不能為大型網(wǎng)絡(luò)提供路由服務(wù)。所以，目前網(wǎng)絡(luò)采用開發(fā)最短路徑優(yōu)先OSPF協(xié)議。開放最短路徑優(yōu)先路由協(xié)議OSPF是一種基于鏈路狀態(tài)路由算法的內(nèi)部網(wǎng)關(guān)協(xié)議。1989年IETF委員會的一個工作組，對鏈路狀態(tài)路由協(xié)議進行了擴充和修改，研制成功了OSPF協(xié)議。其主要為TCP/IP互連網(wǎng)絡(luò)環(huán)境設(shè)計。其目標(biāo)是使TCP/IP協(xié)議快速響應(yīng)網(wǎng)絡(luò)拓?fù)渥兓?，而又減少路由信息量。OSPF在20世紀(jì)80年代成為內(nèi)部網(wǎng)關(guān)協(xié)議的標(biāo)準(zhǔn)。目前許多的路由器都支持OSPF協(xié)議。1開放最短路徑優(yōu)先路由協(xié)議OSPF的“開放”指的是公開發(fā)表，不受任何廠家限制，“最短路徑優(yōu)先”指的是采用鏈路狀態(tài)路由算法的SPF。OSPF是專門為大型異構(gòu)網(wǎng)絡(luò)設(shè)計，支持16比特的路由選擇量度，允許網(wǎng)管人員基于流量負(fù)載、傳輸延遲、鏈路速率以及帶寬來設(shè)計最小代價的路由選擇方案。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4在自治系統(tǒng)內(nèi)部采用洪泛法實現(xiàn)所有路由信息的交換。一個路由器只與其相鄰的路由器進行路由信息的交換，最終實現(xiàn)整個自治區(qū)域的信息交換。交換的路由信息只包含當(dāng)前路由器的相鄰路由和到達相鄰路由的距離，即鏈路狀態(tài)包LSP。OSPF作為鏈路狀態(tài)路由協(xié)議，每個路由器維持一個鏈路狀態(tài)數(shù)據(jù)庫，該數(shù)據(jù)庫描述自治系統(tǒng)的拓?fù)?。只有?dāng)鏈路狀態(tài)發(fā)生變化時，才采用洪泛法交換路由信息。RIP采用的卻是定期交換路由信息的方法。自治系統(tǒng)中每個路由器的鏈路狀態(tài)合在一起就是自治系統(tǒng)的拓?fù)鋽?shù)據(jù)庫。從而形成全網(wǎng)的拓?fù)鋽?shù)據(jù)圖。根據(jù)該拓?fù)鋽?shù)據(jù)庫，每個路由器構(gòu)造一個以它為根的最短路徑樹。這棵樹給出了到達自治系統(tǒng)每個目標(biāo)網(wǎng)絡(luò)的路徑。OSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPF123456四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF

一個自治系統(tǒng)的拓?fù)鋽?shù)據(jù)庫可以用有限圖表示，在有限圖中：頂點有兩類，即路由器和物理網(wǎng)絡(luò)。網(wǎng)絡(luò)也可分為與多路由器連接的傳輸網(wǎng)和只與一個路由器連接的根段網(wǎng)。圖的邊有兩類：一類連接兩個路由器，表示它們之間的點到點的鏈路；另一類連接一個路由器和一個網(wǎng)絡(luò)，代表路由器直接連接在該網(wǎng)上。R1N1N3R4R2R3N45735649在自治系統(tǒng)中，每個路由器維持該自治系統(tǒng)的有限圖數(shù)據(jù)庫。根據(jù)有限圖利用Dijkstra算法，就可以計算出從它到所有的目標(biāo)網(wǎng)絡(luò)的最短距離。1OSPF的路由選擇在兩個層面進行，低層是在自治系統(tǒng)的區(qū)內(nèi)進行路由選擇。高層是在自治系統(tǒng)的區(qū)間進行路由選擇，由穿越主干網(wǎng)的流量組成。為了減少主干網(wǎng)的路由選擇更新，每個區(qū)域有一個指定的區(qū)界路由器。在區(qū)域內(nèi)，每個路由器與指定的區(qū)界路由器交換鏈路狀態(tài)信息。指定區(qū)界路由器負(fù)責(zé)代表本網(wǎng)絡(luò)產(chǎn)生鏈路狀態(tài)包LSP與主干網(wǎng)交換路由信息。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4

開放最短路徑優(yōu)先路由算法的主要特點有：（1）OSPF可根據(jù)IP分組的不同服務(wù)類型計算出不同的最佳路由。（2）OSPF可以實現(xiàn)多路徑間的負(fù)載平衡，到達同一目標(biāo)網(wǎng)絡(luò)有多條相同距離的路徑時，可將通信量分配到不同的路徑傳輸。（3）在OSPF路由器之間交換的分組，具有鑒別功能。（4）OSPF支持可變長度的子網(wǎng)掩碼和CIDR.（5）OSPF設(shè)置一個32位的鏈路狀態(tài)序號，序號越大狀態(tài)越新。四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF開放最短路徑優(yōu)先路由算法的分組類型：（1）問候分組：用來發(fā)現(xiàn)和維持鄰居的可達性關(guān)系。OSPF每隔10S進行一次問候分組的交換，若40S內(nèi)沒應(yīng)答，則視為鄰居路由不可達。（2）數(shù)據(jù)庫描述分組：向鄰居發(fā)送自己鏈路狀態(tài)數(shù)據(jù)庫中所有鏈路狀態(tài)項的摘要信息。（3）鏈路狀態(tài)請求：向鄰居請求發(fā)送其鏈路狀態(tài)項的詳細(xì)信息。（4）鏈路狀態(tài)更新：采用洪泛法進行整個網(wǎng)絡(luò)鏈路狀態(tài)的更新.（5）鏈路狀態(tài)確認(rèn)：對收到的鄰站發(fā)來的鏈路狀態(tài)信息進行確認(rèn)。后邊四個分組主要是實現(xiàn)兩路狀態(tài)數(shù)據(jù)庫的同步！四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當(dāng)前采用的路由信息表的建立與更新方法：采用數(shù)據(jù)描述分組與相鄰路由器交換當(dāng)前路由器已有鏈路狀態(tài)摘要信息。摘要信息描述了當(dāng)前哪些相鄰路由器的鏈路狀態(tài)信息已經(jīng)寫入數(shù)據(jù)庫。使用鏈路狀態(tài)請求分組，向?qū)Ψ秸埱蟀l(fā)送自己缺少的鏈路狀態(tài)項目的詳細(xì)信息。通過反復(fù)交換，最終形成全網(wǎng)的同步鏈路數(shù)據(jù)庫。只要有一個路由的鏈路狀態(tài)發(fā)生變化，就要使用鏈路狀態(tài)更新分組，通過可靠洪泛算法進行全網(wǎng)兩路狀態(tài)更新。如下圖四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當(dāng)前采用的路由信息表的建立與更新方法：更新報文tACK報文RRRRt1t2t3t4基于可靠洪泛法進行更新分組ACL過濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。03ACL有兩種：標(biāo)準(zhǔn)訪問控制列表、擴展訪問控制列表。04利用ACL可以對經(jīng)過路由器的數(shù)據(jù)包按照設(shè)定的規(guī)則進行過濾，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。01訪問控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。021ACL概述ACL的基本用途是限制訪問網(wǎng)絡(luò)的用戶，保護網(wǎng)絡(luò)的安全。ACL一般只在以下路由器上配置：內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。兩個功能網(wǎng)絡(luò)交界的路由器。限制的內(nèi)容通常包括：允許那些用戶訪問網(wǎng)絡(luò)。（根據(jù)用戶的IP地址進行限制）允許用戶訪問的類型，如允許http和ftp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進行限制）1訪問控制列表(ACL)由多條判斷語句組成。每條語句給出一個條件和處理方式（通過或拒絕）。2路由器對收到的數(shù)據(jù)包按照判斷語句的書寫次序進行檢查，當(dāng)遇到相匹配的條件時，就按照指定的處理方式進行處理。3ACL中各語句的書寫次序非常重要，如果一個數(shù)據(jù)包和某判斷語句的條件相匹配時，該數(shù)據(jù)包的匹配過程就結(jié)束了，剩下的條件語句被忽略。ACL的工作過程Router(config)#access-list表號處理方式條件ACL表號：用于區(qū)分各訪問控制列表。一個訪問控制列表(ACL)可由多條語句組成，每條ACL語句的形式為：01其中針對IP數(shù)據(jù)報的ACL可使用的表號為：標(biāo)準(zhǔn)訪問控制列表：1~99。擴展訪問控制列表：100~199。同一個ACL中各語句的表號相同。一臺路由器中可定義多個ACL，每個ACL使用一個表號。022ACL語句例：access-list1permit55access-list1deny55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過。第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過。這里的地址指數(shù)據(jù)包的源地址。處理方式：取值有permit（允許）和deny（拒絕）兩種。當(dāng)數(shù)據(jù)包與該語句的條件相匹配時，用給定的處理方式進行處理。條件：每條ACL語句只能定義一個條件。應(yīng)用ACL如果只是定義了ACL，它還不會起到任何作用，必須把ACL應(yīng)用到一個接口上才能起作用。應(yīng)用ACL：Router(config)#interface接口號Router(config-if)#ipaccess-group表號[in|out]in：表示在數(shù)據(jù)包進入此接口時使用ACL進行過濾。out：表示在數(shù)據(jù)包離開此接口時使用ACL進行過濾。通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高一些。例：Router(config)#interfacee0Router(config-if)#ipaccess-group1out表示在e0口上使用表號為1的ACL對出站數(shù)據(jù)包進行過濾。0102通配符掩碼決定了地址中的哪些位需要精確匹配，哪些為不需要匹配。通配符掩碼是一個32位數(shù)，采用點分十進制方式書寫。匹配時，“0”表示檢查的位，“1”表示不檢查的位。如：55表示檢查前16位，忽略后16位，所以這個條件表示的地址是192.168.*.*。在ACL語句中，當(dāng)使用地址作為條件時，它的一般格式為：地址通配符掩碼。通配符掩碼any條件：當(dāng)條件為所有地址時，如果使用通配符掩碼應(yīng)寫為：55這時可以用“any”表示這個條件。如：Router(config)#access-list1permit55Router(config)#access-list1permitany上面兩個語句是等價的。host關(guān)鍵字：當(dāng)條件為單一IP地址時，如果使用通配符掩碼應(yīng)寫為：IP地址這時可以用“host”關(guān)鍵字定義這個條件。如：Router(config)#access-list1permitRouter(config)#access-list1permithost上面兩個語句是等價的。標(biāo)準(zhǔn)ACL只能使用地址作為條件。標(biāo)準(zhǔn)ACL使用數(shù)據(jù)包的源地址匹配ACL語句中的條件。定義標(biāo)準(zhǔn)ACL時，可使用的表號為1~99。（針對IP數(shù)據(jù)報）3標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求只有來自/8、/24、/24的用戶能夠訪問。1R1#showaccess-lists2R1(config)#access-list1permit553R1(config)#access-list1permit554R1(config)#access-list1permit555R1(config)#interfacee06R1(config-if)#ipaccess-group1out配置完成后，可以用命令查看ACL：說明：在每個ACL中都隱含著一個語句：access-listlist-numdenyany它位于ACL的最后，表示拒絕所有。所以任何一個與前面各語句都不匹配的數(shù)據(jù)包都會被拒絕。在ipaccess-group語句中，用in或out表示入站時匹配或出站時匹配，如果沒有指定這個值，默認(rèn)為out。在每個接口、每個方向上只能應(yīng)用一個ACL。一個ACL可以應(yīng)用到多個接口上。標(biāo)準(zhǔn)ACL配置舉例2R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求拒絕來自/24的用戶訪問，其它用戶都可以訪問。R1(config)#access-list1deny55R1(config)#access-list1permitanyR1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permitany語句不能省略，如果省略該語句，則所有和語句1不匹配的數(shù)據(jù)包都會被隱含的access-list1denyany語句拒絕。標(biāo)準(zhǔn)ACL配置舉例3R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許來自/24的用戶訪問，但其中和兩臺主機除外。R1(config)#access-list1denyhostR1(config)#access-list1denyhostR1(config)#access-list1permit55R1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permit192.168.2055語句不能寫在另兩條語句的前面，如果把它寫在第1句，則和因已經(jīng)滿足了條件，不會再進行后面的匹配。說明：定義ACL時，每條語句都按輸入的次序加入到ACL的末尾，如果想要更改某條語句，或者更改語句的順序，只能先刪除整個ACL，再重新輸入。比如刪除表號為1的ACL：Router(config)#noaccess-list1在實際應(yīng)用中，我們往往把路由器的配置文件導(dǎo)出到TFTP服務(wù)器中，用文本編輯工具修改ACL，然后再把配置文件裝回到路由器中。010302擴展ACL可以使用地址作為條件，也可以用上層協(xié)議作為條件。1擴展ACL既可以測試數(shù)據(jù)包的源地址，也可以測試數(shù)據(jù)包的目的地址。2定義擴展ACL時，可使用的表號為100~199。（針對IP數(shù)據(jù)報）34擴展訪問控制列表擴展ACL的語句：access-list表號處理方式條件表號：取值100~199。處理方式：permit（允許）或deny（拒絕）。條件：協(xié)議源地址目的地址[運算符端口號][established]協(xié)議：用于匹配數(shù)據(jù)包使用的網(wǎng)絡(luò)層或傳輸層協(xié)議，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址通配符掩碼”的形式，也可以使用any、host關(guān)鍵字。運算符端口號：用于匹配TCP、UDP數(shù)據(jù)包中的端口號。access-list100permittcp5555eq80表示允許來自192.168.*.*的用戶訪問位于10.*.*.*的Web站點。運算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號用于對應(yīng)一種應(yīng)用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等?！斑\算符端口號”可匹配數(shù)據(jù)包的用途。如：“eq80”可匹配那些訪問Web網(wǎng)站的數(shù)據(jù)包。在擴展ACL語句中，“運算符端口號”可以沒有。例：在每個擴展ACL末尾也有一條默認(rèn)語句：access-listlist-numdenyipanyany它會拒絕所有與前面語句不匹配的數(shù)據(jù)包。擴展ACL定義后，也需要使用ipaccess-group命令應(yīng)用在指定接口上才能起作用。如：Router(config)#interfacee0Router(config-if)#ipaccess-group100out擴展ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許Web通信流量和Ftp通信流量，其它都拒絕。R1(config)#access-list100permittcpanyanyeq80R1(config)#access-list100permittcpanyanyeq20R1(config)#access-list100permittcpanyanyeq21R1(config)#interfacee0R1(config-if)#ipaccess-group100out說明：標(biāo)準(zhǔn)FTP協(xié)議使用了兩個端口，21用于建立FTP連接，20用于數(shù)據(jù)傳輸。No.3說明：例1的配置將會極大限制局域網(wǎng)和外網(wǎng)間的應(yīng)用，它會拒絕除Web和Ftp外的所有應(yīng)用（包括ICMP、DNS、電子郵件等），也會拒絕那些沒有使用標(biāo)準(zhǔn)端口的Web和Ftp應(yīng)用。在實際應(yīng)用中，我們通常只對那些可能有害的訪問作出拒絕限制，或者限制用戶訪問某些有害的站點或服務(wù)。No.2No.1擴展ACL配置舉例2R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止外網(wǎng)用戶用Telnet遠程登錄本路由器。S0192.168.*.*/24/24R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100in說明：這里使用了禁止對兩個接口進行Telnet的數(shù)據(jù)包進入S0口的方法阻斷來自外網(wǎng)的Telnet請求。由于對E0口沒有限制，所以它不影響來自內(nèi)網(wǎng)的Telnet請求。擴展ACL配置舉例3R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，1是一個有害的Web網(wǎng)站，禁止內(nèi)網(wǎng)用戶訪問該網(wǎng)站。S0192.168.*.*/24/24R1(config)#access-list100denytcp55host1eq8001R1(config)#access-list100permitipanyany02R1(config)#interfacee003R1(config-if)#ipaccess-group100in04擴展ACL配置舉例4R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止對S0口的ping操作。S0192.168.*.*/24/24PTN光傳輸設(shè)備開局與維護重電通信工程學(xué)院說明：ping命令使用的是ICMP協(xié)議，但ICMP除了具有網(wǎng)絡(luò)探查功能外，還需要用它傳輸各種錯誤信息，所以在路由器上不應(yīng)該禁止該協(xié)議。如果想要禁止ping，最好使用專用的防火墻。R1(config)#access-list100denyicmpanyhostR1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100inPTN光傳輸設(shè)備開局與維護重電通信工程學(xué)院01命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個符號串作為ACL的名字，不再使用表號。命名ACL也有標(biāo)準(zhǔn)ACL和擴展ACL兩種，一個命名ACL只能是其中的一種。02035命名訪問控制列表命名ACL配置方法Router(config)#ipaccess-list{standard|extended}namestandard：定義標(biāo)準(zhǔn)命名ACL。extended：定義擴展命名ACL。name：ACL的名字，可自定義。該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語句。命名ACL語句格式：處理方式條件。它只比以前的ACL少了前面的“access-list表號”部分，其它都相同。例1配置標(biāo)準(zhǔn)命名ACLR1E0要求拒絕來自/24的數(shù)據(jù)包通過S0口進入路由器，其它都允許。S0R1(config)#ipaccess-liststandardlist1R1(config-std-nacl)#permitanyR1(config)#interfaces0R1(config-std-nacl)#deny55R1(config-std-nacl)#exitR1(config-if)#ipaccess-grouplist1inlist1是訪問控制列表的名字。123456命名ACL在修改上略好于一般的ACL，進入一個ACL的模式后，我們可以使用“no”命令刪除某一個表項。但如果想要調(diào)整各表項的次序，還是需要刪除整個ACL，再重新輸入。0102例2配置擴展命名ACLR1E0S0192.168.*.*/24/24禁止內(nèi)網(wǎng)用戶訪問地址為1的Web網(wǎng)站。R1(config)#ipaccess-listextendedlist2R1(config-ext-nacl)#denytcp55host1eq80R1(config-ext-nacl)#permitanyR1(config-ext-nacl)#exitR1(config)#interfacee0R1(config-if)#ipaccess-grouplist2inACL應(yīng)用在不同接口、不同方向上會有不同效果。標(biāo)準(zhǔn)ACL不能指定目的地址，一般應(yīng)放置在離目的地最近的接口上。擴展ACL一般應(yīng)放置在離被拒絕的流量來源最近的地方。由于一般的通信都需要雙向傳輸信號，所以使用入站檢測和出站檢測在效果上往往一樣，通常使用出站檢測時被檢查的數(shù)據(jù)包數(shù)量要少一些。0103026正確放置訪問控制列表QOS技術(shù)1.QOS的基本概念I(lǐng)PQoS是指IP網(wǎng)絡(luò)的一種能力，即在跨越多種底層網(wǎng)絡(luò)技術(shù)（FR、ATM、Ethernet、SDH等）的IP網(wǎng)絡(luò)上，為特定的業(yè)務(wù)提供其所需要的服務(wù)。QoS包括多個方面的內(nèi)容，如帶寬、時延、時延抖動等.QoS需要完成以下的工作： 避免并管理IP網(wǎng)絡(luò)擁塞 減少IP報文的丟包率 調(diào)控IP網(wǎng)絡(luò)的流量 為特定用戶或特定業(yè)務(wù)提供專用帶寬 支撐IP網(wǎng)絡(luò)上的實時業(yè)務(wù)QoS包括以下幾個技術(shù)指標(biāo)：可用帶寬指網(wǎng)絡(luò)的兩個節(jié)點之間特定應(yīng)用業(yè)務(wù)流的平均速率，主要衡量用戶從網(wǎng)絡(luò)取得業(yè)務(wù)數(shù)據(jù)的能力，時延指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個節(jié)點之間傳送的平均往返時間丟包率指在網(wǎng)絡(luò)傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力。時延抖動誤碼率指在網(wǎng)絡(luò)傳輸過程中報文出現(xiàn)錯誤的百分比。QoS有兩種主要的解決模型，綜合服務(wù)型（Integratedservice簡稱Intserv）和區(qū)分服務(wù)模型（Differentiatedservice，簡稱Diffserv）。DSCP稱為差分服務(wù)代碼點（DifferentiatedServicesCodePoint），其作用主要是為了保證通信的QoS，在每個數(shù)據(jù)包IP頭部的服務(wù)類別TOS標(biāo)識字節(jié)中，利用6比特(取值為0～63)，來劃分不同服務(wù)類別，區(qū)分服務(wù)的優(yōu)先級。每一個DSCP編碼值都被映射到一個已定義的PHB（Per-Hop-Behavior）標(biāo)識碼。RFC定義了四類標(biāo)準(zhǔn)的PHB，并用CS、EF、AF、BE這些符號來表示，每類PHB都對應(yīng)一組DSCP。PHB這樣的分類是根據(jù)那些可見的服務(wù)特征，如時延、抖動或丟包率。0103022.QOS的模型盡力轉(zhuǎn)發(fā)（BE,BestEffort）。沒有質(zhì)量保證，一般對應(yīng)于傳統(tǒng)的IP分組投遞服務(wù)，只關(guān)注可達性，其他方面不做任何要求。IP網(wǎng)絡(luò)中，缺省的PHB就是BE。任何路由器都必須支持BEPHB。加速型轉(zhuǎn)發(fā)（EF，ExpeditedForwarding）。低時延、低抖動、低丟包率，對應(yīng)于實際應(yīng)用中的視頻、語音、會議電視等實時業(yè)務(wù)。確保型轉(zhuǎn)發(fā)（AF，AssuredForward)。代表帶寬有保證、時延可控的服務(wù)，適用于視頻、語音、企業(yè)VPN等業(yè)務(wù)。兼容IP優(yōu)先級的類型選擇型（CS，ClassSelecter）。因為現(xiàn)網(wǎng)有些存量設(shè)備不支持差分服務(wù)，只解析DSCP前3位，為了后向兼容，標(biāo)準(zhǔn)預(yù)留了所有格式為XXX000的DSCP值，這類值就對應(yīng)為CSPHB。1234報文的分類就是指對待轉(zhuǎn)發(fā)的數(shù)據(jù)包進行入隊的操作。實現(xiàn)DiffServ差分服務(wù)模型就是根據(jù)不同的隊列設(shè)置不同的服務(wù)類型，就需要用到報文的分類。報文分類的策略，可以包括：物理接口，源地址，目的地址，MAC地址，IP協(xié)議，應(yīng)用程序的端口號。報文分類使用如下技術(shù)：基于訪問控制列表ACL基于IP優(yōu)先級3.報文的分類和標(biāo)記流量管理

流量管理是基于網(wǎng)絡(luò)的流量現(xiàn)狀和流量管控策略，對數(shù)據(jù)流進行識別分類，并實施流量控制、優(yōu)化和對關(guān)鍵業(yè)務(wù)應(yīng)用進行保障的相關(guān)技術(shù)。

令牌桶是控制接口速率的一個常用算法。令牌桶的參數(shù)包括：

CIR：承諾信息速率

PIR：峰值信息速率

Bc：承諾突發(fā)量，網(wǎng)絡(luò)允許用戶以CIR速率在Tc時間間隔傳送的數(shù)據(jù)量

Be：最大突發(fā)量，網(wǎng)絡(luò)允許用戶在Tc時間間隔內(nèi)傳送的超過Bc的數(shù)據(jù)量

Tc：抽樣間隔時間，每隔Tc時間間隔對虛電路上的數(shù)據(jù)流量進行監(jiān)視和控制，即Tc=Bc/CIR5擁塞管理擁塞管理處理的方法是使用隊列技術(shù)。將所有要從一個接口發(fā)出的報文通過一定的規(guī)則導(dǎo)入到多個隊列，按照各個隊列的服務(wù)級別進行處理。不同隊列的算法用來解決不同的問題，并產(chǎn)生不同的效果。常用的隊列有FIFO、PQ，CQ，WFQ等。擁塞管理的特點可以概括為： 網(wǎng)絡(luò)擁塞時，保證不同類別的報文得到不同的服務(wù)。 將不同類別的報文入不同的隊列，不同隊列將得到不同的調(diào)度優(yōu)先級、概率或帶寬保證。 擁塞管理常用的算法包括：FIFO（FirstInFirstOut）PQ（PriorityQueue）CQ（CustomQueue）WFQ（WeightedFairQueuing）單元4

MPLS多協(xié)議標(biāo)簽交換

通信技術(shù)教研室ISSUE1.0目標(biāo)Page128學(xué)習(xí)完此課程，您將會：掌握MPLS產(chǎn)生背景掌握MPLS基本概念和原理掌握標(biāo)簽的轉(zhuǎn)發(fā)和分配掌握LDP協(xié)議原理Page129第1章MPLS簡介第2章標(biāo)簽與標(biāo)簽棧第3章標(biāo)簽的轉(zhuǎn)發(fā)和分配第4章LDP的簡介MPLSPage130MPLS——Multi-ProtocolLabelSwitchingMulti-Protocol支持多種三層協(xié)議，如IP、IPv6、IPX、SNA等LabelSwitching給報文打上標(biāo)簽，以標(biāo)簽交換取代IP轉(zhuǎn)發(fā)010302起源：為了將IP與ATM結(jié)合Page131面向無連接的控制平面01面向無連接的轉(zhuǎn)發(fā)平面02IP03面向連接的控制平面04面向連接的轉(zhuǎn)發(fā)平面05ATM06面向無連接的控制平面07面向連接的轉(zhuǎn)發(fā)平面08MPLS09傳統(tǒng)IP轉(zhuǎn)發(fā)Page132每一跳分析IP頭，效率低QoS難于部署，而且效率低所有路由器都要知道整個網(wǎng)絡(luò)的所有路由分析IP頭映射到下一跳分析IP頭映射到下一跳分析IP頭映射到下一跳IP的hop-by-hop逐跳轉(zhuǎn)發(fā)Page13347.147.247.3IP12312123IPIPIPIP的逐跳轉(zhuǎn)發(fā)，在經(jīng)過的每一跳處，必須進行路由表的最長匹配查找（可能多次），速度緩慢。DESTOUT接口111ATM的交換過程Page134虛通路連接(VCC)虛通道連接(VPC)VP

交換VC

交換VC

交換NNINNIVPI=2

VCI=44VPI=1

VCI=1VPI=26

VCI=44VPI=20

VCI=30UNIUNI面向連接，有N2問題靠鏈路層選路，基于VPI/VCI或標(biāo)簽業(yè)務(wù)質(zhì)量有保證，可保證實時業(yè)務(wù)LabelSwitchedPath(LSP)Page13547.147.247.3123121233IPIPMPLS的標(biāo)簽轉(zhuǎn)發(fā)，通過事先分配好的標(biāo)簽，為報文建立了一條標(biāo)簽轉(zhuǎn)發(fā)通道（LSP），在通道經(jīng)過的每一臺設(shè)備處，只需要進行快速的標(biāo)簽交換即可（一次查找）。結(jié)合ATM與IP優(yōu)點的技術(shù)Page136+XR=XMPLS——多協(xié)議標(biāo)簽交換Layer2交換--高可靠性和流量工程管理Layer3路由--可伸縮性和靈活性RouterATMswitchMPLSRouter控制與轉(zhuǎn)發(fā)完美分離，控制層面秉承IP的靈活性，轉(zhuǎn)發(fā)層面則秉承了ATM的可靠性MPLS基本概念Page137LSR：LabelSwitchRouterLER：LabelEdgeRouterLSP：LabelSwitchPathLERLERLERLERLSRLSRLSRMPLS域IPMPLSLSPMPLS基本工作過程Page138CoreLSRIPIPL1IPL2IPL3IP傳統(tǒng)IP轉(zhuǎn)發(fā)傳統(tǒng)IP轉(zhuǎn)發(fā)標(biāo)簽轉(zhuǎn)發(fā)邊緣LSR邊緣LSRMPLS的優(yōu)點Page139以短的、固定長度的標(biāo)簽代替IP頭作為轉(zhuǎn)發(fā)依據(jù)，提高轉(zhuǎn)發(fā)速度IP與ATM更好地結(jié)合提供增值業(yè)務(wù)，同時不損害效率VPNTEQOSPage140第1章MPLS簡介第2章標(biāo)簽與標(biāo)簽棧第3章標(biāo)簽的轉(zhuǎn)發(fā)和分配第4章LDP的簡介MPLS封裝格式與標(biāo)簽Page141通常，MPLS包頭有32Bit，其中有：20Bit用作標(biāo)簽（Label）3個Bit的EXP,用于MPLSQoS1個Bit的S,用于標(biāo)識是否是棧底(s=1表明是棧底)，表明MPLS的標(biāo)簽可以嵌套。8個Bit的TTL理論上，標(biāo)簽?？梢詿o限嵌套，這一精妙設(shè)計為VPN/TE等各種MPLS業(yè)務(wù)提供了基礎(chǔ)MPLS封裝格式與標(biāo)簽Page142ATM和FR的MPLS封裝有兩種：shim封裝(又叫Frame模式)：與其他鏈路層類似信元模式：直接利用VC（ATM是VPI/VCI，F(xiàn)R是DLCI）作為標(biāo)簽MPLS兩種封裝模式Page143以太網(wǎng)報頭/PPP報頭Lablel三層數(shù)據(jù)以太網(wǎng)/SONET/SDH分組ATM報頭Label三層數(shù)據(jù)幀模式ATM分組信元模式的ATM分組VPI/VCI三層數(shù)據(jù)MPLSTTL處理Page144把整個MPLS域看做一跳IPTTL--MPLSTTL＝255MPLSTTL--IPTTL--入口LERLSR出口LER把MPLSTTL計入IPTTLIPTTL--MPLSTTL＝IPTTLMPLSTTL--MPLSTTL--IPTTL＝MPLSTTL入口LERLSR出口LER標(biāo)簽棧Page145理論上，標(biāo)簽?？梢詿o限嵌套，從而提供無限的業(yè)務(wù)支持能力。這是MPLS技術(shù)最大的魅力所在。Page146第1章MPLS簡介第2章標(biāo)簽與標(biāo)簽棧第3章標(biāo)簽的轉(zhuǎn)發(fā)和分配第4章LDP的簡介標(biāo)簽轉(zhuǎn)發(fā)基本概念Page147FEC（ForwardingEquivalenceClass）：轉(zhuǎn)發(fā)等價類，在轉(zhuǎn)發(fā)過程中以等價的方式進行處理的一組數(shù)據(jù)的集合。將具有相同特性的報文導(dǎo)入到同一條LSPNHLFE（NextHopLabelForwardingEntry）：描述標(biāo)簽操作下一跳標(biāo)簽操作類型：push/pop/swap/null鏈路層封裝類型等FTN（FECtoNHLFE）：將FEC映射到NHLFEILM（IncomingLabelMap）：將MPLS標(biāo)簽映射到NHLFE標(biāo)簽操作Page148LSR出口LER分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE分析IP頭映射到下一跳ILM->NHLFE入口LERLSR標(biāo)簽操作：push標(biāo)簽操作：swap標(biāo)簽操作：swap標(biāo)簽操作：popABCDA:…加上標(biāo)簽L1E1B/24其他標(biāo)簽操作Push發(fā)送接口下一跳NHLFEFEC標(biāo)簽轉(zhuǎn)發(fā)Page149在MPLS域中只依據(jù)標(biāo)簽和標(biāo)簽轉(zhuǎn)發(fā)表通過轉(zhuǎn)發(fā)單元進行轉(zhuǎn)發(fā)標(biāo)簽操作：pop…L1L2L3E0CL1其他標(biāo)簽操作（Swap）發(fā)送接口下一跳NHLFE入標(biāo)簽B，C:分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE分析IP頭映射到下一跳ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：push標(biāo)簽操作：swap標(biāo)簽操作：swapABCD標(biāo)簽轉(zhuǎn)發(fā)Page150Egress將標(biāo)簽去掉，繼續(xù)轉(zhuǎn)發(fā)…POPDL3其他標(biāo)簽操作發(fā)送接口下一跳NHLFE入標(biāo)簽D:分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE分析IP頭映射到下一跳ILM->NHLFE入口LERLSRLSR標(biāo)簽操作：push標(biāo)簽操作：swap標(biāo)簽操作：swap標(biāo)簽操作：popABCD倒數(shù)第二跳彈出(PHP)Page151

在最后一跳，最外層的標(biāo)簽已經(jīng)沒有意義，因此可以在倒數(shù)第二跳將標(biāo)簽彈出，減少最后一跳的負(fù)擔(dān)。如果只有一層標(biāo)簽，則最后一跳直接進行IP轉(zhuǎn)發(fā)；否則，對內(nèi)層標(biāo)簽做標(biāo)簽轉(zhuǎn)發(fā)。分析IP頭映射到下一跳標(biāo)簽操作：pop分析IP頭FEC綁定LSPFTN->NHLFEILM->NHLFEILM->NHLFE入口LERLSRLSR出口LER標(biāo)簽操作：push標(biāo)簽操作：swapPage152第1章MPLS簡介第2章標(biāo)簽與標(biāo)簽棧第3章標(biāo)簽的轉(zhuǎn)發(fā)和分配第4章LDP簡介信令協(xié)議，用于在LSR之間分配標(biāo)簽，建立LSP：LSP信令協(xié)議Page1531LDP:LabelDistributionProtocol,2CR-LDP:ConstrainedRouteLDP，3Direct-LDP:定向LDP,用于L2VPN6PIM:5MP-BGP:4RSVP-TE：MPLSTELDPPage154LDP（LabelDistributionProtocol）標(biāo)簽分發(fā)協(xié)議，MPLS的最基本信令協(xié)議，用于標(biāo)簽的分發(fā)建立LSPLDP與IP動態(tài)路由協(xié)議（例如RIP）十分相像，都具備如下的幾大要素：報文（或者叫消息）鄰居的自動發(fā)現(xiàn)和維護機制一套算法，用來根據(jù)搜集到的信息計算最終結(jié)果。LDP采用TCP作為傳輸協(xié)議。LDP的消息類型Page155在LDP協(xié)議中，存在4種LDP消息：會話（Session）消息用于建立，維護和結(jié)束LDP對等實體之間的會話連接。發(fā)現(xiàn)（Discovery）消息用于通告和維護網(wǎng)絡(luò)中LSR的存在。通告（Advertisement）消息用于創(chuàng)建、改變和刪除特定FEC-標(biāo)簽綁定。通知（Notification）消息用于提供消息通告和差錯通知。LDPsession建立過程Page156鄰居發(fā)現(xiàn)：通過互發(fā)hello報文(UDP/port:646/IP:）建立TCP連接：由地址大的一方主動發(fā)起。(TCP/port:646)會話初始化：由Master發(fā)出初始化消息，并攜帶協(xié)商參數(shù)。由slave檢查參數(shù)能否接受，如果能則發(fā)送初始化消息，并攜帶協(xié)商參數(shù)。并隨后發(fā)送keepalive消息。master檢查參數(shù)能否接受，如果能則發(fā)送keepalive消息。相互收到keepalive消息，會話建立。期間收到任何差錯消息，均關(guān)閉會話，斷開TCP連接MMMMMHelloandKeepalivePage157Hello：Per-LinkKeepalive跟蹤接口與鏈路有關(guān)Keepalive：Per-NeighborKeepalive不跟蹤接口與鏈路無關(guān)標(biāo)簽分配和管理Page158DoD:downstream-on-demand下游按需標(biāo)簽分發(fā)DU:downstreamunsolicited下游自主標(biāo)簽分發(fā)標(biāo)簽分配模式有序（Ordered）獨立（Independent）標(biāo)簽控制模式保守模式(Conservative)自由模式(Liberal)上游與下游：在一條LSP上，沿數(shù)據(jù)包傳送的方向，相鄰的LSR分別叫上游LSR(upstreamLSR)和下游LSR（downstreamLSR）。下游是路由的始發(fā)者。標(biāo)簽保持方