《高級網(wǎng)絡互聯(lián)技術(shù)項目教程（華為版微課版）第2版》全套教學課件

《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》全套可編輯PPT課件《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》項目1MUXVLAN技術(shù)項目2多生成樹協(xié)議MSTP項目3虛擬路由器冗余協(xié)議VRRP項目4RIP路由協(xié)議與高級配置項目5OSPF路由協(xié)議與高級配置項目6IS-IS路由協(xié)議項目7BGP路由協(xié)議項目8路由策略項目9策略路由項目10GRE通用路由封裝協(xié)議項目11IPSEC協(xié)議項目12MPLS多協(xié)議標簽交換技術(shù)項目13防火墻技術(shù)目錄項目一MUXVLAN技術(shù)1.1MUXVLAN技術(shù)應用1.2端口隔離教學目標、知識點：1．掌握MUXVLAN應用場景及配置方法。2．掌握端口隔離應用場景及配置方法。項目一MUXVLAN技術(shù)1．MUXVLAN簡介MUXVLAN（MultiplexVLAN）提供了一種通過VLAN進行網(wǎng)絡資源控制的機制。我們知道VLAN技術(shù)的產(chǎn)生是為了劃分廣播域，在企業(yè)網(wǎng)絡中，企業(yè)員工和企業(yè)客戶可以訪問企業(yè)的服務器。對于企業(yè)來說，希望企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶之間是隔離的，不能夠互相訪問，為了實現(xiàn)所有用戶都可訪問企業(yè)服務器，可通過配置VLAN間通信實現(xiàn)。如果企業(yè)規(guī)模很大，擁有大量的用戶，那么就要為不能互相訪問的用戶都分配VLAN，這不但需要耗費大量的VLANID，還增加了網(wǎng)絡管理者的工作量，同時也增加了維護工作量，通過MUXVLAN提供的二層流量隔離的機制可以實現(xiàn)企業(yè)內(nèi)部員工之間互相交流，而企業(yè)客戶之間是隔離的。1.1

MUXVLAN技術(shù)應用1.1計算機網(wǎng)絡定義2.MUXVLAN基本概念MUXVLAN分為主VLAN和從VLAN，從VLAN又分為隔離型從VLAN和互通型從VLAN。（1）主VLAN（PrincipalVLAN）：Principalport可以和MUXVLAN內(nèi)的所有端口進行通信。（2）隔離型從VLAN（SeparateVLAN）：Separateport只能和Principalport進行通信，和其他類型的端口實現(xiàn)完全隔離。每個隔離型從VLAN必須綁定一個主VLAN。（3）互通型從VLAN（GroupVLAN）：Groupport可以和Principalport進行通信，在同一組內(nèi)的端口也可互相通信，但不能和其他組端口或Separateport通信。每個互通型從VLAN必須綁定一個主VLAN。MUXVLAN中的主VLAN和從VLAN以及Principalport、Separateport、Groupport之間的通信關(guān)系（注：×代表不可通信），如圖1.1所示。1.1計算機網(wǎng)絡定義1.1計算機網(wǎng)絡定義3.配置MUXVLAN注意事項（1）如果指定VLAN已經(jīng)用于主VLAN或從VLAN，那么該VLAN不能再用于創(chuàng)建VLANIF端口，或者在VLANMapping、VLANStacking、Super-VLAN、Sub-VLAN的配置中使用。（2）禁止端口MAC地址學習功能或限制端口MAC地址學習數(shù)量會影響MUXVLAN功能的正常使用。（3）不能在同一端口上配置MUXVLAN和端口安全功能。（4）不能在同一端口上配置MUXVLAN和MAC認證功能。（5）不能在同一端口上配置MUXVLAN和802.1x認證功能。（6）當同時配置DHCPSnooping和MUXVLAN時，如果DHCPServer在MUXVLAN的從VLAN側(cè)，而DHCPClient在主VLAN側(cè)，則會導致DHCPClient不能正常獲取IP地址，因此請將DHCPServer配置在主VLAN側(cè)。（7）端口使能MUXVLAN功能后，該端口不可再配置VLAN1.1計算機網(wǎng)絡定義4.配置MUXVLAN（1）配置MUXVLAN，進行網(wǎng)絡拓撲連接，如圖1.2所示。服務器Server1連接在交換機LSW1上，服務器Server2連接在交換機LSW2上，服務器Server1與服務器Server2同屬于VLAN100，VLAN100為主VLAN。主機PC1與主機PC2連接在交換機LSW1上，主機PC5與主機PC6連接在交換機LSW2上，同屬于VLAN10，VLAN10為組VLAN。主機PC3與主機PC4連接在交換機LSW1上，同屬于VLAN20，VLAN20為組VLAN。主機PC7與主機PC8連接在交換機LSW2上，同屬于VLAN30，VLAN30為隔離VLAN。1.1計算機網(wǎng)絡定義4.配置MUXVLAN1.端口隔離應用場景端口隔離是為了實現(xiàn)報文之間的二層隔離，可以將不同的端口加入不同的VLAN，但會浪費有限的VLAN資源。采用端口隔離特性，可以實現(xiàn)同一VLAN內(nèi)端口之間的隔離，用戶只需要將端口加入到隔離組中，就可以實現(xiàn)隔離組內(nèi)端口之間二層數(shù)據(jù)的隔離，端口隔離功能為用戶提供了更安全、更靈活的組網(wǎng)方案，如圖1.16所示。1.2端口隔離1.2端口隔離1.端口隔離應用場景1.2端口隔離2.端口隔離基本概念端口隔離分為二層隔離三層互通和二層三層都隔離兩種模式：如果用戶希望隔離同一VLAN內(nèi)的廣播報文，但是不同端口下的用戶還可以進行三層通信，則可以將隔離模式設(shè)置為二層隔離三層互通。如果用戶希望同一VLAN不同端口下用戶徹底無法通信，則可以將隔離模式配置為二層三層均隔離。如果不是特殊情況要求，建議用戶不要將上行口和下行口加入到同一端口隔離組中，否則上行口和下行口之間不能相互通信。如圖1.17所示，同一端口隔離組內(nèi)的用戶不能進行二層的通信，但是不同端口隔離組內(nèi)的用戶可以進行正常通行；未劃分端口隔離的用戶也能與端口隔離組內(nèi)的用戶正常通信。1.2端口隔離1.2.1二層端口隔離配置

同項目組的員工都被劃分到VLAN10中，其中屬于企業(yè)內(nèi)部的員工允許相互通信，屬于企業(yè)外部的員工不允許相互通信，外部員工與內(nèi)部員工之間允許通信，交換機LSW1與交換機LSW2為二層交換機，交換機LSW3與交換機LSW4為三層交換機，交換機LSW3中的VLAN10的IP地址為：00/24，主機PC1至主機PC4為內(nèi)部員工，主機PC5至主機PC8為外部員工，主機PC5與主機PC6在隔離組Group1中，機PC7與主機PC8在隔離組Group2中，相關(guān)端口與IP地址對應關(guān)系如圖1.18所示，進行端口隔離配置。1.2.2三層端口隔離配置

同項目組的內(nèi)部員工被劃分到VLAN20中，外部員工被劃分到VLAN10中，交換機LSW1為三層交換機，交換機LSW1中的VLAN10的IP地址為：00/24，VLAN20的IP地址為：00/24，主機PC3與主機PC4為內(nèi)部員工，主機PC1與主機PC2為外部員工，在隔離組Group1中，機PC5與主機PC6為外部員工，在隔離組Group2中，相關(guān)端口與IP地址對應關(guān)系如圖1.28所示，進行三層端口隔離配置。《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目二多生成樹協(xié)議MSTP2.1MSTP協(xié)議2.2MSTP協(xié)議配置教學目標、知識點：1．了解多生成樹協(xié)議應用場景以及基本概念。2．掌握多生成樹協(xié)議MSTP的配置方法。項目二多生成樹協(xié)議MSTP1.MSTP協(xié)議應用場景

多生成樹（MST）使用修正的快速生成樹（RSTP）協(xié)議，叫做多生成樹協(xié)議（MultipleSpanningTreeProtocol，MSTP），多生成樹（MST）是把IEEE802.1W的快速生成樹（RSTP）算法擴展而得到的。RSTP在STP基礎(chǔ)上進行了改進，實現(xiàn)了網(wǎng)絡拓撲快速收斂。但由于局域網(wǎng)內(nèi)所有的VLAN共享一棵生成樹，因此被阻塞后鏈路將不承載任何流量，無法在VLAN間實現(xiàn)數(shù)據(jù)流量的負載均衡，從而造成帶寬浪費。為了彌補STP和RSTP的缺陷，IEEE于2002年發(fā)布的802.1S標準定義了MSTP。MSTP兼容STP和RSTP，既可以快速收斂，又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡。2.1MSTP協(xié)議1.MSTP協(xié)議應用場景

采用多生成樹（MST），能夠通過干道（Trunk）建立多個生成樹，關(guān)聯(lián)VLANs到相關(guān)的生成樹進程，每個生成樹進程具備單獨于其他進程的拓撲結(jié)構(gòu)；MST提供了多個數(shù)據(jù)轉(zhuǎn)發(fā)路徑和負載均衡，提高了網(wǎng)絡容錯能力，因為一個進程（轉(zhuǎn)發(fā)路徑）的故障不會影響其他進程（轉(zhuǎn)發(fā)路徑）。一個生成樹進程只能存在于具備一致的VLAN進程分配的橋中，必須用同樣的MST配置信息來配置一組橋，這使得這些橋能參與到一組生成樹進程中，具備同樣的MST配置信息的互連的橋構(gòu)成多生成樹區(qū)（MSTRegion）。2.1MSTP協(xié)議1.MSTP協(xié)議應用場景MSTP將環(huán)路網(wǎng)絡修剪成為一個無環(huán)的樹型網(wǎng)絡，避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡。MSTP兼容STP和RSTP，并且可以彌補STP和RSTP的缺陷。它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負載分擔機制。

MSTP設(shè)置VLAN映射表（即VLAN和生成樹的對應關(guān)系表），把VLAN和生成樹聯(lián)系起來；通過增加“實例”（將多個VLAN整合到一個集合中）這個概念，將多個VLAN捆綁到一個實例中，以節(jié)省通信開銷和資源占用率；MSTP把一個交換網(wǎng)絡劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立；MSTP將環(huán)路網(wǎng)絡修剪成為一個無環(huán)的樹型網(wǎng)絡，避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載分擔。2.1MSTP協(xié)議2.MSTP基本概念（1）MST域（MultipleSpanningTreeRegion）。（2）CST/IST/CIST/總根/主橋。（3）MSTI/MSTI域根。（4）MSTP端口角色。（5）MSTP快速收斂。2.1MSTP協(xié)議3.MSTP協(xié)議特點（1）MSTP將環(huán)路網(wǎng)絡修剪成為一個無環(huán)的樹型網(wǎng)絡，避免報文在環(huán)路網(wǎng)絡中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡，如圖2.1所示。（2）MSTP設(shè)置VLAN映射表（即VLAN和生成樹的對應關(guān)系表），把VLAN和生成樹聯(lián)系起來；通過增加“實例”（將多個VLAN整合到一個集合中）這個概念，將多個VLAN捆綁到一個實例中，以節(jié)省通信開銷和資源占用率，如圖2.2、圖2.3所示。（3）MSTP把一個交換網(wǎng)絡劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立。（4）MSTP兼容STP和RSTP。2.1MSTP協(xié)議3.MSTP協(xié)議特點2.1MSTP協(xié)議3.MSTP協(xié)議特點2.1MSTP協(xié)議3.MSTP協(xié)議特點2.1MSTP協(xié)議（1）交換機LSW1為實例instance1的根，實例instance1關(guān)聯(lián)VLAN10與VLAN30。交換機LSW2為實例instance2的根，實例instance2關(guān)聯(lián)VLAN120與VLAN40，如圖2.1所示，進行網(wǎng)絡拓撲連接。2.2MSTP協(xié)議配置

《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目三

虛擬路由器冗余協(xié)議VRRP3.1虛擬路由冗余協(xié)議3.2配置MSTP與VRRP多備份組實現(xiàn)負載均衡教學目標、知識點：1．了解虛擬路由冗余協(xié)議及應用場景。2．掌握VRRP配置方法。3．掌握配置MSTP與VRRP多備份組實現(xiàn)負載均衡。項目三虛擬路由器冗余協(xié)議VRRP3.1.1VRRP概述虛擬路由冗余協(xié)議(VirtualRouterRedundancyProtocol，VRRP)，是由IETF提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點失效現(xiàn)象的路由協(xié)議，1998年已推出正式的RFC2338協(xié)議標準。VRRP廣泛應用在邊緣網(wǎng)絡中，它的設(shè)計目標是支持特定情況下IP數(shù)據(jù)流量失敗轉(zhuǎn)移不會引起混亂，允許主機使用單路由器，以及及時在實際第一跳路由器使用失敗的情形下仍能夠維護路由器間的連通性。VRRP是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺。控制虛擬路由器IP地址的VRRP路由器稱為主控路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬IP地址。一旦主控路由器不能工作，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器，它是一種局域網(wǎng)接入設(shè)備備份協(xié)議。一個局域網(wǎng)絡內(nèi)的所有主機都配置默認網(wǎng)關(guān)，如圖3.1所示，路由器AR1的GE0/0/0的端口的IP地址54，這樣主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過默認網(wǎng)關(guān)發(fā)往三層交換機，從而實現(xiàn)了主機和外部網(wǎng)絡的通信。3.1虛擬路由冗余協(xié)議3.1.1VRRP概述3.1虛擬路由冗余協(xié)議3.1.1VRRP概述當默認網(wǎng)關(guān)的路由器出現(xiàn)故障，所有使用該路由器作為默認網(wǎng)關(guān)的主機都會因為默認網(wǎng)關(guān)的故障而無法進行通信，因此，如何采取有效的措施解決這個問題呢？一種方案是配置多個默認網(wǎng)關(guān)，這種方案可以實現(xiàn)網(wǎng)關(guān)的冗余，如果第一個默認網(wǎng)關(guān)出現(xiàn)故障，第2個默認網(wǎng)關(guān)就可以轉(zhuǎn)發(fā)數(shù)據(jù)，但在實際運行效果上并不理想，原因在于不能真正做到網(wǎng)關(guān)及時切換轉(zhuǎn)發(fā)，需要人工參與配置，如圖3.2所示，主機PC1設(shè)置雙網(wǎng)關(guān)（54及54）去訪問Internet網(wǎng)絡，如果AR1正常工作，那么主機PC1就會把數(shù)據(jù)包發(fā)送給網(wǎng)關(guān)地址54，然后由路由器AR1轉(zhuǎn)發(fā)到Internet網(wǎng)絡上，當路由器AR1出現(xiàn)故障，無法通信時，那么主機PC1是無法知道這個故障的，主機PC1會繼續(xù)將數(shù)據(jù)包發(fā)送給網(wǎng)關(guān)地址54，也就是說，在沒有人工參與的情況下，主機PC1是不會自動切換到另一臺路由器AR2的網(wǎng)關(guān)地址54上，而實現(xiàn)默認網(wǎng)關(guān)冗余數(shù)據(jù)通信的。3.1虛擬路由冗余協(xié)議3.1.1VRRP概述3.1虛擬路由冗余協(xié)議3.1.1VRRP概述另一種方案是在兩臺路由器AR1與AR2上啟動VRRP協(xié)議，當路由器AR1正常工作時，由其轉(zhuǎn)發(fā)數(shù)據(jù)進行通信，當路由器AR1出現(xiàn)故障進，系統(tǒng)自動切換到路由器AR2上，由路由器AR2代替路由器AR1的工作，實現(xiàn)網(wǎng)關(guān)的冗余，數(shù)據(jù)通信不間斷。VRRP是一種路由容錯協(xié)議，也可以叫做備份路由協(xié)議。一個局域網(wǎng)絡內(nèi)的所有主機都配置默認路由，當網(wǎng)內(nèi)主機發(fā)出的目的地址不在本網(wǎng)段時，報文將被通過默認路由發(fā)往外部路由器，從而實現(xiàn)了主機與外部網(wǎng)絡的通信。當默認路由器down掉（即端口關(guān)閉）之后，內(nèi)部主機將無法與外部通信，如果路由器設(shè)置了VRRP時，那么這時，虛擬路由將啟用備份路由器，從而實現(xiàn)全網(wǎng)通信。3.1虛擬路由冗余協(xié)議3.1.1VRRP概述在VRRP協(xié)議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運行VRRP的路由器，是物理實體；虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺虛擬路由器。該虛擬路由器對外表現(xiàn)為一個具有唯一固定的IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器VRRP協(xié)議從路由器組中選出一臺作為主控路由器，負責ARP解析和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其他路由器作為備份的角色并處于待命狀態(tài)，當由于某種原因主控路由器發(fā)生故障時，其中的一臺備份路由器能在瞬間的時延后升級為主控路由器，由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統(tǒng)是透明的。3.1虛擬路由冗余協(xié)議3.1.1VRRP概述如圖3.3所示，路由器AR1、路由器AR2組成一組VRRP虛擬路由器，路由器AR1、路由器AR2的虛擬路由器IP地址統(tǒng)一設(shè)置為54，網(wǎng)絡中所有的主機默認網(wǎng)關(guān)地址都為虛擬路由器的IP地址，作為主控路由器AR1，負責對發(fā)送到該虛擬IP地址的數(shù)據(jù)包進行轉(zhuǎn)發(fā)，路由器AR2為備份路由器，當主控路由器AR1發(fā)生故障時，備份路由器AR2將替換主控路由器AR1進行數(shù)據(jù)轉(zhuǎn)發(fā)，當主控路由器AR1恢復正常工作后，將再次成為主控路由器。每一個VRRP組中的路由器都有唯一的VRID標志（1~255），它決定運行VRRP的路由器是屬于哪一個VRRP組，VRRP組中的虛擬路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01[VRID]。主控路由器負責對發(fā)送到虛擬路由器IP地址的ARP請求做出響應并以該虛擬MAC地址做出應答，因此，無論如何切換，都能保證終端主機設(shè)備是唯一的IP地址和MAC地址，避免了網(wǎng)絡中網(wǎng)關(guān)設(shè)備出現(xiàn)故障時會對終端設(shè)備造成無法通信的影響。3.1虛擬路由冗余協(xié)議3.1.1VRRP概述3.1虛擬路由冗余協(xié)議3.1.1VRRP概述1.VRRP端口狀態(tài)（1）INITIALIZE。（2）MASTER。（3）BACKUP。2.VRRP選舉機制如圖3.4所示，路由器AR1的VRRP的優(yōu)先級為120，路由器AR2的VRRP的優(yōu)先級為100（默認優(yōu)先級），因此，路由器AR1將成為該組的主控路由器（Master），路由器AR2將成為該組的備份路由器（Backup）。當路由器AR1與路由器AR2的優(yōu)先級相同時，VRRP組內(nèi)路由器將通過比較端口的IP地址，端口IP地址大的優(yōu)先成為主控路由器，假設(shè)在圖3.4中，路由器AR1與路由器AR2都沒有設(shè)置優(yōu)先級，優(yōu)先級都是默認值100，則比較端口的IP地址，路由器AR2的端口IP地址為52，而路由器AR1的端口IP地址為51，因此，路由器AR2成為主控路由器，路由器AR1成為備份路由器。3.1虛擬路由冗余協(xié)議3.VRRP基本配置3.1虛擬路由冗余協(xié)議3.1.2VRRP配置1．配置VRRP單備份組VRRP技術(shù)是解決網(wǎng)絡中主機配置單網(wǎng)關(guān)容易出現(xiàn)單點故障問題的一項技術(shù)，通過將多臺路由器配置到一個VRRP組中，每一個VRRP組虛擬出一臺虛擬路由器，作為網(wǎng)絡中主機的網(wǎng)關(guān)。一個VRRP組中，所有真實路由器選舉出來一臺優(yōu)先級最高的路由器作為主控路由器，虛擬路由器的轉(zhuǎn)發(fā)工作由主控路由器承擔，當主控路由器因故障宕機時，備份路由器將成為主控路由器，承擔虛擬路由器的轉(zhuǎn)發(fā)工作，從而保證網(wǎng)絡的穩(wěn)定性，如圖3.5所示，進行網(wǎng)絡拓撲連接。3.1虛擬路由冗余協(xié)議3.1.2VRRP配置1．配置VRRP單備份組3.1虛擬路由冗余協(xié)議配置MSTP與VRRP多備份組，實現(xiàn)負載均衡，配置VLAN10與VLAN30屬于MSTP實例1，VLAN10與VLAN30屬于VRRP主控交換機LSW1，VRRP備份交換機屬于LSW2；VLAN20與VLAN40屬于MSTP實例2、VLAN20與VLAN40屬于VRRP主控交換機LSW2，VRRP備份交換機屬于LSW1；交換機LSW1與交換機LSW2之間做鏈路聚合，增加帶寬、提高可靠性，如圖3.9所示。3.2配置MSTP與VRRP多備份組實現(xiàn)負載均衡《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目四RIP路由協(xié)議與高級配置4.1RIP相關(guān)知識回顧4.2RIP路由聚合4.3RIP-2報文的認證方式配置目錄項目四RIP路由協(xié)議與高級配置4.4RIP與BFD聯(lián)動配置4.5RIP引入外部路由配置4.6RIPng配置教學目標、知識點：1．掌握RIP協(xié)議路由聚合功能及配置方法。2．掌握RIP協(xié)議驗證功能及及配置方法。3．掌握RIP協(xié)議與BFD協(xié)議聯(lián)動配置方法。項目四RIP路由協(xié)議與高級配置1．RIP路由協(xié)議路由信息協(xié)議RIP（RoutingInformationProtocol）是一種內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），是一種動態(tài)路由選擇協(xié)議，用于自治系統(tǒng)（AS）內(nèi)的路由信息的傳遞。RIP協(xié)議基于距離矢量算法（DistanceVectorAlgorithms），使用“跳數(shù)”(即metric)來衡量到達目標地址的路由距離。這種協(xié)議的路由器只關(guān)心自己周圍的世界，只與自己相鄰的路由器交換信息，范圍限制在15跳之內(nèi)，即16跳就認為網(wǎng)絡不可達。RIP應用于OSI網(wǎng)絡七層模型的應用層，各廠家定義的管理距離（AD，即優(yōu)先級）有所不同，如：華為設(shè)備定義的優(yōu)先級是100，思科設(shè)備定義的優(yōu)先級是120，在帶寬、配置和管理方面要求較低，主要適合于規(guī)模較小的網(wǎng)絡中，如圖4.1所示，RIP協(xié)議中定義的相關(guān)參數(shù)也比較少，它不支持VLSM和CIDR，也不支持認證功能。4.1RIP相關(guān)知識回顧1．RIP路由協(xié)議4.1RIP相關(guān)知識回顧2.工作原理路由器啟動時，路由表中只會包含直連路由。運行RIP之后，路由器會發(fā)送Request報文，用來請求鄰居路由器的RIP路由。運行RIP的鄰居路由器收到該Request報文后，會根據(jù)自己的路由表，生成Response報文進行回復。路由器在收到Response報文后，會將相應的路由添加到自己的路由表中。RIP網(wǎng)絡穩(wěn)定以后，每個路由器會周期性地向鄰居路由器通告自己的整張路由表中的路由信息，默認周期為30秒，鄰居路由器根據(jù)收到的路由信息刷新自己的路由表，路由器每30秒發(fā)送一次自己的路由表（以RIP應答的方式廣播出去）。針對某一條路由信息，如果180秒以后都沒有接收到新的關(guān)于它的路由信息，那么將其標記為失效，即metric值標記為16。在另外的120秒以后，如果仍然沒有更新信息，該條失效信息被刪除，如圖4.2所示。4.1RIP相關(guān)知識回顧2.工作原理4.1RIP相關(guān)知識回顧3.RIP協(xié)議版本RIP協(xié)議分為三個版本，即版本：RIPv1、RIPv2和RIPng，前兩者用于IPv4，RIPng用于IPv6。（1）RIPv1為有類別路由協(xié)議，不支持VLSM和CIDR；RIPv1以廣播形式發(fā)送路由信息，目的IP地址為廣播地址55；不支持認證；RIPv1協(xié)議通過UDP交換路由信息，端口號為520。一個RIPv1路由更新消息中最多可包含25條路由表項，每個路由表項都攜帶了目的網(wǎng)絡的地址和度量值。整個RIP報文大小限制為不超過504字節(jié)。如果整個路由表的更新消息超過該大小，需要發(fā)送多個RIPv1報文。（2）RIPv2為無類別路由協(xié)議，支持VLSM，支持路由聚合與CIDR；支持以廣播或組播（）方式發(fā)送報文；支持明文認證和MD5密文認證。RIPv2在RIPv1基礎(chǔ)上進行了擴展，但RIPv2的報文格式仍然同RIPv1類似。RIP-1被提出較早，其中有許多缺陷。為了改善RIP-1的不足，在RFC1388中提出了改進的RIP-2，并在RFC1723和RFC2453中進行了修訂。RIP-2定義了一套有效的改進方案，新的RIP-2支持子網(wǎng)路由選擇，支持CIDR，支持組播，并提供了驗證機制。4.1RIP相關(guān)知識回顧4.RIP局限性（1）由于15跳為最大值，RIP只能應用于小規(guī)模網(wǎng)絡。協(xié)議中規(guī)定，一條有效的路由信息的度量（metric）不能超過15，這就使得該協(xié)議不能應用于很大型的網(wǎng)絡，應該說正是由于設(shè)計者考慮到該協(xié)議只適合于小型網(wǎng)絡所以才進行了這一限制，對于metric為16的目標網(wǎng)絡來說，即認為其不可到達。（2）收斂速度慢。該路由協(xié)議應用到實際中時，很容易出現(xiàn)“計數(shù)到無窮大”的現(xiàn)象，這使得路由收斂很慢，在網(wǎng)絡拓撲結(jié)構(gòu)變化以后需要很長時間路由信息才能穩(wěn)定下來。（3）根據(jù)跳數(shù)選擇的路由，不一定是最優(yōu)路由。該協(xié)議以跳數(shù)，即報文經(jīng)過的路由器個數(shù)為衡量標準，并以此來選擇路由，這一措施欠合理性，因為沒有考慮網(wǎng)絡延時、可靠性、線路負荷等因素對傳輸質(zhì)量和速度的影響。4.1RIP相關(guān)知識回顧5.RIPv1與RIPv2的區(qū)別RIPv1協(xié)議路由更新用是的廣播方式。RIPv2協(xié)議使用組播的方式向其他宣告RIPv2的路由器發(fā)出更新報文，它使用的組播地址是保留的D類地址，使用組播方式的好處在于，本地網(wǎng)絡上相連的RIP路由器，不再花費時間對路由器的廣播報文進行更新解析。RIP-V2不是一個新的協(xié)議，它只是在RIPV1協(xié)議的基礎(chǔ)上增加了一些擴展特性，以適用于現(xiàn)代網(wǎng)絡的路由選擇環(huán)境。這些擴展特性有：每個路由條目都攜帶自己的子網(wǎng)掩碼；路由選擇更新更具有認證功能；每個路由條目都攜帶下一跳地址；外部路由標志；組播路由更新。最重要的一項是路由更新條目增加了子網(wǎng)掩碼的字段，因而RIP協(xié)議可以使用可變長的子網(wǎng)掩碼，從而使RIPv2協(xié)議變成了一個無類別的路由選擇協(xié)議。4.1RIP相關(guān)知識回顧5.RIPv1與RIPv2的區(qū)別（1）RIPv1是有類路由協(xié)議，RIPv2是無類路由協(xié)議。（2）RIPv1不能支持VLSM，RIPv2可以支持VLSM。（3）RIPv1沒有認證的功能，RIPv2可以支持認證，并且有明文和MD5兩種認證。（4）RIPv1沒有手工聚合的功能，RIPv2可以在關(guān)閉自動聚合的前提下，進行手工聚合。（5）RIPv1是廣播更新，RIPv2是組播更新。（6）RIPv1路由沒有標記的功能，RIPv2可以對路由打標記（tag），用于過濾和做策略。（7）RIPv1發(fā)送的update最多可以攜帶25條路由條目，RIPv2在有認證的情況下最多只能攜帶24條路由。（8）RIPv1發(fā)送的update包里面沒有next-hop屬性，RIPv2有next-hop屬性，可以用與路由更新的重定。4.1RIP相關(guān)知識回顧6.RIP基本配置（1）配置RIP路由進程，發(fā)布路由進程關(guān)聯(lián)的網(wǎng)絡。（2）配置RIP接收和發(fā)送指定版本的數(shù)據(jù)包。（3）查看當前模式下的相關(guān)配置。4.1RIP相關(guān)知識回顧

在RIP網(wǎng)絡規(guī)模很大時，RIP路由表會變得十分龐大，存儲路由表占用大量的設(shè)備內(nèi)存資源，傳輸和處理路由信息需要占用大量的網(wǎng)絡資源，使用路由聚合可以大大減小路由表的規(guī)模；另外通過對路由進行聚合，隱藏一些具體的路由，可以減少路由震蕩對網(wǎng)絡帶來的影響。RIP支持兩種聚合方式：自動路由聚合和手動路由聚合。自動聚合的路由優(yōu)先級低于手動指定聚合的路由優(yōu)先級，當需要將所有子網(wǎng)路由發(fā)布出去時，可關(guān)閉RIP-2的自動路由聚合功能。4.2RIP路由聚合1.配置RIP-2自動路由聚合步驟2.配置RIP-2手動路由聚合步驟3.配置RIP路由聚合4.2RIP路由聚合在安全性要求較高的網(wǎng)絡中，可以通過配置RIP-2報文的認證來提高RIP網(wǎng)絡的安全性。RIP-2支持對協(xié)議報文進行認證，并提供簡單認證和MD5認證兩種方式，增強安全性。其中，簡單認證使用未加密的認證字段隨報文一同傳送，其安全性比MD5認證要低。在配置RIP-2報文的認證方式時，如果使用plain選項，密碼將以明文形式保存在配置文件中，存在安全隱患，建議使用cipher選項，將密碼加密保存。4.3RIP-2報文的認證方式配置1.配置RIP-2報文的認證方式步驟2.配置RIP-2報文的認證方式4.3RIP-2報文的認證方式配置網(wǎng)絡上的鏈路故障會導致路由器重新計算路由，因此縮短路由協(xié)議的收斂時間對于提高網(wǎng)絡性能是非常重要的。加快故障感知速度并快速通告給路由協(xié)議是一種可行的方案。雙向轉(zhuǎn)發(fā)檢測BFD（BidirectionalForwardingDetection）是一種用于檢測鄰居路由器之間鏈路故障的檢測機制，它通常與路由協(xié)議聯(lián)動，通過快速感知鏈路故障并通告使得路由協(xié)議能夠快速地重新收斂，從而減少由于拓撲變化導致的流量丟失。在RIP與BFD聯(lián)動中，BFD可以快速檢測到鏈路故障并通知RIP協(xié)議，從而加快RIP協(xié)議對于網(wǎng)絡拓撲變化的響應。RIP協(xié)議在使用BFD前后的鏈路故障檢測機制及收斂速度，如表4.1所示：4.4RIP與BFD聯(lián)動配置1.工作原理路由與BFD聯(lián)動包括靜態(tài)BFD和動態(tài)BFD兩種模式：（1）靜態(tài)BFD。靜態(tài)BFD是指通過命令行手工配置BFD會話參數(shù)，包括了配置本地標識符和遠端標識符等，手工下發(fā)BFD會話建立請求。（2）動態(tài)BFD。動態(tài)BFD是指由路由協(xié)議動態(tài)觸發(fā)BFD會話建立。動態(tài)BFD中，本地標識符是動態(tài)分配的，遠端標識符從對端的BFD報文中獲取。路由協(xié)議在建立了新的鄰居關(guān)系時，將對應的參數(shù)及檢測參數(shù)（包括目的地址、源地址等）通告給BFD，BFD根據(jù)收到的參數(shù)建立起會話。當發(fā)生鏈路故障時，聯(lián)動了BFD的路由協(xié)議可以快速感知到BFD會話狀態(tài)變?yōu)镈own，從而實現(xiàn)將流量快速切換到備份路徑，避免了數(shù)據(jù)大量丟失。靜態(tài)BFD可以不受對端設(shè)備的限制，在對端設(shè)備不支持BFD功能的情況下，本端通過靜態(tài)BFD實現(xiàn)單臂BFD檢測功能。而動態(tài)BFD比靜態(tài)BFD則更具有靈活性。4.4RIP與BFD聯(lián)動配置2.應用環(huán)境RIP和BFD相關(guān)聯(lián)后，一旦鏈路發(fā)生故障，BFD在毫秒級時間內(nèi)感知該故障并通知RIP協(xié)議，然后路由器在路由表中刪除掉故障鏈路的路由并快速啟用備份路徑，提高了路由協(xié)議的收斂速度，如圖4.8所示。（1）AR1、AR2、AR3及AR4建立RIP鄰接。經(jīng)過路由計算，AR1到達AR4的路由下一跳為AR2。在AR1及AR2上使能RIP與動態(tài)BFD聯(lián)動檢測機制。（2）當AR1和AR2之間的鏈路出現(xiàn)故障時，BFD快速感知并通知給AR1，AR1刪除掉下一跳為AR2的路由。然后AR1重新進行路由計算并選取新的路徑，新的路由經(jīng)過AR3、AR2到達AR4。（3）當AR1與AR2之間的鏈路恢復之后，二者之間的會話重新建立，AR1收到AR2的路由信息，重新選擇最優(yōu)路徑進行報文轉(zhuǎn)發(fā)。4.4RIP與BFD聯(lián)動配置2.應用環(huán)境4.4RIP與BFD聯(lián)動配置4.4.1配置RIP與靜態(tài)BFD聯(lián)動BFD能夠提供輕負荷、快速的鏈路故障檢測，配置RIP與靜態(tài)BFD聯(lián)動是實現(xiàn)BFD檢測功能的一種方式。在RIP鄰居間建立BFD會話可以快速檢測鏈路故障，加快RIP進程對網(wǎng)絡拓撲變化響應的速度。靜態(tài)BFD可以實現(xiàn)以下兩種功能：（1）單臂BFD：在現(xiàn)網(wǎng)中存在大量設(shè)備不支持BFD功能，當支持BFD的設(shè)備與不支持BFD的設(shè)備對接時，可以通過配置靜態(tài)BFD來實現(xiàn)單臂BFD檢功能。（2）普通BFD：在某些對故障響應速度要求高且兩端設(shè)備都支持BFD的鏈路上，可以在兩端配置靜態(tài)BFD來實現(xiàn)普通BFD檢測功能。配置靜態(tài)BFD會話需要通過命令行手工配置BFD會話。4.4RIP與BFD聯(lián)動配置4.4.1配置RIP與靜態(tài)BFD聯(lián)動1.配置靜態(tài)BFD操作步驟步驟2配置單臂BFD檢測。步驟3配置普通BFD檢測。步驟4使能端口靜態(tài)BFD。步驟1使能全局BFD。2.配置RIP與單臂靜態(tài)BFD聯(lián)動特性實例4.4RIP與BFD聯(lián)動配置4.4.2配置RIP與動態(tài)BFD聯(lián)動通常情況下，RIP通過定時接收和發(fā)送更新報文來保持鄰居關(guān)系，在老化定時器時間內(nèi)沒有收到鄰居發(fā)送的更新報文則宣告鄰居狀態(tài)變?yōu)镈own。老化定時器的缺省值為180s，如果出現(xiàn)鏈路故障，RIP要經(jīng)過180s才會檢測到。如果網(wǎng)絡中部署了高速數(shù)據(jù)業(yè)務，在此期間將導致數(shù)據(jù)大量丟失。BFD能夠提供毫秒級別的故障檢測機制，及時檢測到被保護的鏈路或節(jié)點故障，并上報給RIP協(xié)議，提高RIP進程對網(wǎng)絡拓撲變化做出響應的速度，從而實現(xiàn)RIP路由的快速收斂。配置RIP與動態(tài)BFD聯(lián)動有兩種方式：（1）RIP進程下使能BFD，當網(wǎng)絡中大部分RIP端口需要使能RIP與動態(tài)BFD聯(lián)動時，建議選擇此方式。（2）RIP端口下使能BFD，當網(wǎng)絡中只有小部分RIP端口需要使能RIP與動態(tài)BFD聯(lián)動時，建議選擇此方式。4.4RIP與BFD聯(lián)動配置4.4.2配置RIP與動態(tài)BFD聯(lián)動1.配置動態(tài)BFD操作步驟2.配置RIP與動態(tài)BFD聯(lián)動特性實例在小型網(wǎng)絡中有4臺路由器通過RIP協(xié)議實現(xiàn)網(wǎng)絡互通。采用配置RIP與動態(tài)BFD聯(lián)動方式，在各端口上配置IP地址，使網(wǎng)絡可達，在各路由器上使能RIP，基本實現(xiàn)網(wǎng)絡互連，在AR1和AR2上配置RIP與動態(tài)BFD聯(lián)動，通過BFD快速檢測鏈路的狀態(tài)，從而提高RIP的收斂速度，實現(xiàn)鏈路的快速切換。其中業(yè)務流量經(jīng)過主鏈路AR1→AR2→AR4進行傳輸。要求提高從AR1到AR2數(shù)據(jù)轉(zhuǎn)發(fā)的可靠性，當主鏈路發(fā)生故障時，業(yè)務流量會快速切換到另一條路徑AR1→AR3→AR2→AR4進行傳輸，相關(guān)端口與IP地址配置，如圖4.10所示，進行網(wǎng)絡拓撲連接。4.4RIP與BFD聯(lián)動配置4.4.2配置RIP與動態(tài)BFD聯(lián)動1.配置動態(tài)BFD操作步驟2.配置RIP與動態(tài)BFD聯(lián)動特性實例4.4RIP與BFD聯(lián)動配置從配置和管理的角度來看，通常一種路由協(xié)議更容易一些。但是在實際應用中，很多情況下都存在一個路由器上同時運行著一種以上的路由協(xié)議。在路由器上運行除RIP之外的路由協(xié)議的情況下，為了不同路由協(xié)議之間能夠良好的協(xié)同工作，需要ABR上，進行引入外部路由的配置，RIP可以引入其他進程或其他協(xié)議學到的路由信息，從而豐富路由表項。4.5RIP引入外部路由配置1.配置RIP引入外部路由操作步驟2.配置RIP引入外部路由實例在路由器AR2上運行兩個RIP進程：RIP10和RIP20。要求在路由器AR1與其它網(wǎng)段能實現(xiàn)互通，相關(guān)端口與IP地址配置，如圖4.11所示，進行網(wǎng)絡拓撲連接。配置RIP引入外部路由，在各路由器上使能RIP，實現(xiàn)各進程內(nèi)網(wǎng)絡互連；在路由器AR2上配置RIP10和RIP20之間的路由相互引入，其中將引入的RIP20路由的缺省權(quán)值設(shè)為2，實現(xiàn)兩進程路由互通；在路由器AR2上配置ACL，對引入的RIP200的一條路由/24）進行過濾，實現(xiàn)路由上器AR1僅與網(wǎng)段/24互通。4.5RIP引入外部路由配置1.配置RIP引入外部路由操作步驟2.配置RIP引入外部路由實例4.5RIP引入外部路由配置.6RIPng配置RIPng是為IPv6網(wǎng)絡設(shè)計的下一代距離矢量路由協(xié)議。與早期的IPv4版本的RIP類似，RIPng同樣遵循距離矢量原則。RIPng保留了RIP的多個主要特性，比如，RIPng規(guī)定每一跳的開銷度量值也為1，最大跳數(shù)也為15，RIPng通過UDP的521端口發(fā)送和接收路由信息。RIPng與RIP的最主要區(qū)別在于，RIPng使用了IPv6組播地址ff02::9作為目的地址來傳送路由更新報文，而RIPv2使用的是組播地址。IPv4路由協(xié)議一般采用公網(wǎng)地址或私網(wǎng)地址作為路由條目的下一跳地址，而IPv6路由協(xié)議通常采用鏈路本地地址作為路由條目的下一跳地址。4.6RIPng配置6RIPng配置配置RIPng，相關(guān)端口與IP地址配置，如圖4.12所示，進行網(wǎng)絡拓撲連接。路由器AR1和路由器AR2的loopback1端口使用的是全球單播地址。路由器AR1和路由器AR2的物理端口在使用RIPng傳送路由信息時，路由條目的下一跳地址只能是鏈路本地地址。例如，如果路由器AR1收到的路由條目的下一跳地址為2005::2/64，AR1就會認為目的地址為2004::1的網(wǎng)絡地址可達。4.6RIPng配置《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目五OSPF路由協(xié)議與高級配置5.1OSPF相關(guān)知識回顧5.2OSPF路由聚合5.3OSPF區(qū)域認證方式配置5.4RIP-2報文的認證方式配置目錄項目四RIP路由協(xié)議與高級配置5.5OSPF與BFD聯(lián)動配置5.6OSPF引入外部路由配置5.7OSPFv3配置教學目標、知識點：1．掌握OSPF協(xié)議路由匯總功能及配置方法。2．掌握OSPF協(xié)議驗證功能及及配置方法。3．OSPF的特殊區(qū)域配置方法。4．掌握OSPF協(xié)議與BFD協(xié)議聯(lián)動配置方法。5．OSPF引入外部路由配置以及OSPFv3配置方法。項目五OSPF路由協(xié)議與高級配置1．OSPF路由協(xié)議開放式最短路徑優(yōu)先（OpenShortestPathFirst，OSPF）是目前廣泛使用的一種動態(tài)路由協(xié)議，它屬于鏈路狀態(tài)路由協(xié)議，具有路由變化收斂速度快、無路由環(huán)路、支持變長子網(wǎng)掩碼（VLSM）和匯總、層次區(qū)域劃分等優(yōu)點。在網(wǎng)絡中使用OSPF協(xié)議后，大部分路由將由OSPF協(xié)議自行計算和生成，無須網(wǎng)絡管理員人工配置，當網(wǎng)絡拓撲發(fā)生變化時，協(xié)議可以自動計算、更正路由，極大地方便了網(wǎng)絡管理。RIP是一種基于距離矢量算法的路由協(xié)議，存在著收斂慢、易產(chǎn)生路由環(huán)路、可擴展性差等問題，目前已逐漸被OSPF所取代。OSPF協(xié)議是一種鏈路狀態(tài)協(xié)議。每個路由器負責發(fā)現(xiàn)、維護與鄰居的關(guān)系，并將已知的鄰居列表和鏈路費用LSU(LinkStateUpdate)報文描述，通過可靠的泛洪與自治系統(tǒng)AS(AutonomousSystem)內(nèi)的其他路由器周期性交互，學習到整個自治系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)，并通過自治系統(tǒng)邊界的路由器注入其他AS的路由信息，從而得到整個Internet的路由信息。每隔一個特定時間或當鏈路狀態(tài)發(fā)生變化時，重新生成鏈路狀態(tài)廣播LSA（LinkStateAdvertisement）數(shù)據(jù)包，路由器通過泛洪機制將新LSA通告出去，以便實現(xiàn)路由實時更新。5.1OSPF相關(guān)知識回顧2.OSPF路由區(qū)域報文類型OSPF協(xié)議報文信息，用來保證路由器之間互相傳播各種信息，OSPF協(xié)議報文共有5種報文類型，任意一種報文都需要加上OSPF的報文頭，最后封裝在IP中傳送，一個OSPF報文的最大長度為1500字節(jié)，其結(jié)構(gòu)如圖5.1所示。OSPF直接運行在IP協(xié)議之上，使用IP協(xié)議號89。OSPF有五種報文類型，每種報文都使用相同的OSPF報文頭，如表5.1所示。（1）Hello報文：最常用的一種報文，用于發(fā)現(xiàn)、維護鄰居關(guān)系。并在廣播和NBMA（None-BroadcastMulti-Access）類型的網(wǎng)絡中選舉指定路由器DR（DesignatedRouter）和備份指定路由器BDR（BackupDesignatedRouter）。（2）數(shù)據(jù)庫描述（DatabaseDescription，DD）報文：兩臺路由器進行LSDB數(shù)據(jù)庫同步時，用DD報文來描述自己的LSDB。DD報文的內(nèi)容包括LSDB中每一條LSA的頭部（LSA的頭部可以唯一標識一條LSA）。LSA頭部只占一條LSA的整個數(shù)據(jù)量的小部分，所以，這樣就可以減少路由器之間的協(xié)議報文流量。5.1OSPF相關(guān)知識回顧2.OSPF路由區(qū)域報文類型（3）鏈路狀態(tài)請求（LinkStateRequest，LSR）報文：兩臺路由器互相交換過DD報文之后，知道對端的路由器有哪些LSA是本地LSDB所缺少的，這時需要發(fā)送LSR報文向?qū)Ψ秸埱笕鄙俚腖SA，LSR只包含了所需要的LSA的摘要信息。（4）鏈路狀態(tài)更新（LinkStateUpdate，LSU）報文：用來向?qū)Χ寺酚善靼l(fā)送所需要的LSA。（5）鏈路狀態(tài)確認（LinkStateAcknowledgment，LSACK）報文：用來對接收到的LSU報文進行確認。5.1OSPF相關(guān)知識回顧2.OSPF路由區(qū)域報文類型5.1OSPF相關(guān)知識回顧3.OSPF的LSA類型OSPF的LSA類型種類繁多，然而OSPF又是目前應用最廣泛的IGP協(xié)議，所以我們不得不對它進行研究，OSPF的LSA類型一共有11種，LSA類型在OSPF環(huán)境中的作用范圍，如圖5.2所示。5.1OSPF相關(guān)知識回顧3.OSPF的LSA類型（1）LSA1路由器LSA（RouterLSA）。（2）LSA2網(wǎng)絡LSA（NetworkLSA）。（3）LSA3網(wǎng)絡匯總LSA（NetworksummaryLSA）。（4）LSA5自治系統(tǒng)外部LSA（AutonomoussystemexternalLSA）。（5）LSA4ASBR匯總LSA（ASBRsummaryLSA）。（6）OSPF的特殊區(qū)域：StubArea末梢區(qū)域。（7）OSPF的特殊區(qū)域：TotalStubArea絕對末梢區(qū)域。（8）OSPF的特殊區(qū)域：NSSAArea次末梢區(qū)域。（9）OSPF的特殊區(qū)域：TotalNSSAArea絕對次末梢區(qū)域。5.1OSPF相關(guān)知識回顧3.OSPF的LSA類型5.1OSPF相關(guān)知識回顧5.1OSPF相關(guān)知識回顧當OSPF網(wǎng)絡規(guī)模較大時，配置路由聚合，可以有效減少路由表中的條目，減小對系統(tǒng)資源的占用，不影響系統(tǒng)的性能。此外，如果被聚合的IP地址范圍內(nèi)的某條鏈路頻繁Up和Down，該變化并不會通告到被聚合的IP地址范圍外的設(shè)備。因此，可以避免網(wǎng)絡中的路由震蕩，在一定程度上提高了網(wǎng)絡的穩(wěn)定性。ABR向其它區(qū)域發(fā)送路由信息時，以網(wǎng)段為單位生成Type3LSA。當區(qū)域中存在連續(xù)的網(wǎng)段（具有相同前綴的路由信息）時，可以通過abr-summary命令將這些網(wǎng)段聚合成一個網(wǎng)段，ABR向其他區(qū)域只發(fā)送一條聚合后的LSA，所有指定的聚合網(wǎng)段范圍的LSA將不會再被單獨發(fā)送。從而減小路由表的規(guī)模，提高路由器的性能。5.2OSPF路由聚合1.配置ABR路由聚合步驟2.配置ASBR路由聚合步驟3.配置OSPF路由聚合配置OSPF手動路由聚合，在一個OSPF自治系統(tǒng)中ABR與ASBR的配置情況，路由器AR1、AR2運行在骨干Area0區(qū)域，路由器AR2、AR3運行在Area1區(qū)域中，路由器AR2為ABR路由器，路由器AR3為ASBR路由器，在路由器AR3端口GE0/0/0與GE0/0/2進行手動路由聚合，實現(xiàn)將/24與/24匯總成一條/16路由引入到OSPF中，相關(guān)端口與IP地址配置，如圖4.5所示，進行網(wǎng)絡拓撲連接。5.2OSPF路由聚合OSPF認證主要是為了安全，比如你網(wǎng)絡中所有路由都啟了OSPF，如果在這個拓撲環(huán)境中，某人想學習你這個OSPF網(wǎng)絡中的路由信息，就在其中一個節(jié)點又連了一個路由器，并且也啟了OSPF，那么如果你OSPF網(wǎng)絡中沒有配置加密，這臺路由就會輕易的學習到其他所有路由器的信息。這是極不安全的，所以通常我們會啟動加密認證來管理OSPF網(wǎng)絡。5.3.1OSPF認證方式1.區(qū)域認證方式2.端口認證方式5.3.2.配置OSPF區(qū)域認證方式1.區(qū)域認證2.端口認證5.3OSPF區(qū)域認證方式配置5.4.1OSPF虛連接配置我們知道在OSPF協(xié)議中要求每個區(qū)域與骨干區(qū)域（Area0）必須直接相連，但是實際組網(wǎng)中，網(wǎng)絡情況非常的復雜，有時候在劃分區(qū)域時，無法保證每個區(qū)域都滿足這個要求。這個時候我們就需要使用虛鏈接（VirtualLink）技術(shù)來解決這個問題。虛連接是指在兩臺ABR之間，穿過一個非骨干區(qū)域（也稱為轉(zhuǎn)換區(qū)域，TransitArea），建立的一條邏輯上的連接通道（須在兩端的ABR上同時配置）。配置OSPF虛連接，相關(guān)端口與IP地址配置，如圖5.6所示，進行網(wǎng)絡拓撲連接，Area2沒有與骨干區(qū)域直接相連。Area1被用作傳輸區(qū)域（TransitArea）來連接Area2和Area0。AR1和AR2之間配置一條虛連接。5.4OSPF的特殊區(qū)域配置5.4.1OSPF虛連接配置5.4OSPF的特殊區(qū)域配置5.4.2StubArea末節(jié)區(qū)域配置1.配置當前區(qū)域為StubArea區(qū)域步驟2（可選）配置發(fā)送到Stub區(qū)域缺省路由的開銷3.檢查OSPF的Stub區(qū)域的配置結(jié)果4.配置OSPF的Stub區(qū)域?qū)嵗?.4OSPF的特殊區(qū)域配置所有的路由器都運行OSPF，整個自治系統(tǒng)劃分為3個區(qū)域。其中AR1和AR2作為ABR來轉(zhuǎn)發(fā)區(qū)域之間的路由，AR4作為ASBR引入了外部路由（靜態(tài)路由）。要求將Area1配置為Stub區(qū)域，減少通告到此區(qū)域內(nèi)的LSA數(shù)量，但不影響路由的可達性，相關(guān)端口與IP地址配置，如圖5.7所示，進行網(wǎng)絡拓撲連接。5.4OSPF的特殊區(qū)域配置5.4.3Not-so-StubbyArea次末節(jié)區(qū)域配置(NSSA)1.配置OSPF的NSSA區(qū)域步驟2.Stub區(qū)域和NSSA區(qū)域的區(qū)別3.配置OSPF的NSSA區(qū)域?qū)嵗械穆酚善鞫歼\行OSPF，整個自治系統(tǒng)劃分為兩個區(qū)域。其中AR1和AR2作為ABR來轉(zhuǎn)發(fā)區(qū)域間的路由，AR3和AR4作為ASBR分別引入外部靜態(tài)路由/8和/8。此時，在不影響路由可達的前提下，達到減少通告到Area1內(nèi)的LSA數(shù)量，但引入自治系統(tǒng)外部路由的目的。需要將Area1配置為NSSA區(qū)域，并配置NSSA區(qū)域中的AR1為轉(zhuǎn)換路由器，相關(guān)端口與IP地址配置，如圖5.8所示，進行網(wǎng)絡拓撲連接。5.4OSPF的特殊區(qū)域配置5.4.3Not-so-StubbyArea次末節(jié)區(qū)域配置(NSSA)5.4OSPF的特殊區(qū)域配置如果需要提高鏈路狀態(tài)變化時OSPF的收斂速度，可以在運行OSPF的鏈路上配置BFD特性。當BFD檢測到鏈路故障時，能夠?qū)⒐收贤ǜ娼o路由協(xié)議，觸發(fā)路由協(xié)議的快速收斂；當鄰居關(guān)系為Down時，則動態(tài)刪除BFD會話。OSPF通過周期性的向鄰居發(fā)送Hello報文來實現(xiàn)鄰居檢測，檢測到故障所需時間比較長，超過1秒鐘。隨著科技的發(fā)展，語音、視頻及其它點播業(yè)務應用廣泛，而這些業(yè)務對于丟包和延時非常敏感，當數(shù)據(jù)達到吉比特速率級時，較長的檢測時間會導致大量數(shù)據(jù)丟失，無法滿足電信級網(wǎng)絡高可靠性的需求。為了解決上述問題，配置指定進程或指定端口的BDFforOSPF特性，可以快速檢測鏈路的狀態(tài)，故障檢測時間可以達到毫秒級，提高鏈路狀態(tài)變化時OSPF的收斂速度。5.5OSPF與BFD聯(lián)動配置1.配置OSPF與BFD聯(lián)動的基本流程2.配置OSPF與BFD聯(lián)動的步驟3.配置OSPF與BFD聯(lián)動特性實例路由器AR1、AR2、AR3和AR4之間運行OSPF。使能AR1、AR2、AR3和AR4的OSPF進程BFD特性；業(yè)務流量在主鏈路AR1→AR2→AR4上傳送，鏈路AR1→AR3→AR2→AR4作為備份鏈路；在AR1和AR2之間的鏈路上創(chuàng)建端口的BFD特性，當AR1和AR2之間的鏈路出現(xiàn)故障時，BFD能夠快速檢測到故障并通告給OSPF協(xié)議，使業(yè)務流量使用備份鏈路傳送，相關(guān)端口與IP地址配置，如圖5.10所示，進行網(wǎng)絡拓撲連接。5.5OSPF與BFD聯(lián)動配置3.配置OSPF與BFD聯(lián)動特性實例5.5OSPF與BFD聯(lián)動配置當OSPF網(wǎng)絡中的設(shè)備需要訪問運行其他協(xié)議的網(wǎng)絡中的設(shè)備時，需要將其他協(xié)議的路由引入到OSPF網(wǎng)絡中。OSPF是一個無環(huán)路的動態(tài)路由協(xié)議，但這是針對域內(nèi)路由和域間路由而言的，其對引入的外部路由環(huán)路沒有很好的防范機制，所以在配置OSPF引入外部路由時一定要慎重，防止手工配置引起的環(huán)路。1.配置OSPF引入其它協(xié)議的路由2.配置OSPF引入路由時的相關(guān)參數(shù)3.配置OSPF將缺省路由通告到OSPF路由區(qū)域4.配置OSPF將缺省路由通告到OSPF路由區(qū)域5.配置OSPF引入外部路由5.6OSPF引入外部路由配置配置OSPF引入外部路由，相關(guān)端口與IP地址配置，如圖5.11所示，進行網(wǎng)絡拓撲連接。5.6OSPF引入外部路由配置OSPFv3是運行在IPv6網(wǎng)絡的OSPF協(xié)議。運行OSPFv3的路由器使用物理端口的鏈路本地單播地址為源地址來發(fā)送OSPF報文。相同鏈路上的路由器互相學習與之相連的其它路由器的鏈路本地地址，并在報文轉(zhuǎn)發(fā)的過程中將這些地址當成下一跳信息使用，IPv6中使用組播地址ff02::5來表示AllRouters，而OSPFv2中使用的是組播地址。需要注意的是，OSPFv3和OSPFv2版本互不兼容。5.7OSPFv3配置配置OSPFv3，相關(guān)端口與IP地址配置，如圖5.12所示，進行網(wǎng)絡拓撲連接。5.7OSPFv3配置《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目六IS-IS路由協(xié)議6.1IS-IS路由協(xié)議簡介6.2IS-IS協(xié)議配置教學目標、知識點：1．掌握IS-IS協(xié)議基本概念。

2．掌握IS-IS協(xié)議工作原理。3．掌握IS-IS協(xié)議與BFD協(xié)議聯(lián)動配置方法。項目六IS-IS路由協(xié)議IS-IS路由協(xié)議與OSPF路由協(xié)議都是鏈路狀態(tài)路由協(xié)議，他們不但適合應用于LAN的環(huán)境，而且更多使用在城域網(wǎng)的環(huán)境中。在IP城域網(wǎng)中關(guān)鍵技術(shù)包括路由技術(shù)、端到端的QoS管理、接入網(wǎng)技術(shù)和用戶/業(yè)務管理，在路由技術(shù)中最常用的就是BGP、OSPF和IS-IS三種路由協(xié)議，如果想了解城域網(wǎng)的知識，所以需要先學習IS-IS路由協(xié)議。中間系統(tǒng)到中間系統(tǒng)IS-IS（IntermediateSystemtoIntermediateSystem）屬于內(nèi)部網(wǎng)關(guān)協(xié)議IGP（InteriorGatewayProtocol），用于自治系統(tǒng)內(nèi)部。IS-IS也是一種鏈路狀態(tài)協(xié)議，使用最短路徑優(yōu)先SPF（ShortestPathFirst）算法進行路由計算。IS-IS路由協(xié)議最初是ISO（theInternationalOrganizationforStandardization，國際標準化組織）為CLNP（ConnectionLessNetworkProtocol，無連接網(wǎng)絡協(xié)議）設(shè)計的一種動態(tài)路由協(xié)議。為了提供對IP路由的支持，通過對IS-IS進行擴充和修改，使IS-IS能夠同時應用在TCP/IP和OSI環(huán)境中，形成了集成化IS-IS（IntegratedIS-IS或DualIS-IS）?，F(xiàn)在提到的IS-IS協(xié)議都是指集成化的IS-IS協(xié)議，主要用于城域網(wǎng)和承載網(wǎng)。6.1IS-IS路由協(xié)議簡介6.1.1IS-IS協(xié)議基本概念1.ISIS協(xié)議報文類型在ISIS路由協(xié)議中，協(xié)議報文總共有9種，所有的協(xié)議報文都是根據(jù)層次劃分為Level-1和Level-2的報文。（1）Hello報文，用于建立和維護毗鄰關(guān)系。（2）LSP（Link-statePacket）報文，用于發(fā)布鏈路狀態(tài)信息。（3）PSNP（PartialsequencenumberPDU）報文，用于確認和請求鏈路狀態(tài)信息。CSNP分為兩種：Level1CSNP和Level2CSNP。（4）CSNP（CompletesequencenumberPDU）報文，用于發(fā)布完整鏈路狀態(tài)數(shù)據(jù)庫。PSNP分為兩種：Level1PSNP和Level2PSNP。6.1IS-IS路由協(xié)議簡介6.1.1IS-IS協(xié)議基本概念2.IS-IS的拓撲結(jié)構(gòu)為了支持大規(guī)模的路由網(wǎng)絡，IS-IS在自治系統(tǒng)內(nèi)采用骨干區(qū)域與非骨干區(qū)域兩級的分層結(jié)構(gòu)。一般來說，將Level-1路由器部署在非骨干區(qū)域，Level-2路由器和Level-1-2路由器部署在骨干區(qū)域。每一個非骨干區(qū)域都通過Level-1-2路由器與骨干區(qū)域相連。如圖6.1所示，為一個運行IS-IS協(xié)議的網(wǎng)絡，它與OSPF的多區(qū)域網(wǎng)絡拓撲結(jié)構(gòu)非常相似。整個骨干區(qū)域不僅包括Area1中的所有路由器，還包括其它區(qū)域的Level-1-2路由器。6.1IS-IS路由協(xié)議簡介6.1.1IS-IS協(xié)議基本概念2.IS-IS的拓撲結(jié)構(gòu)如圖6.2所示，是IS-IS的另外一種拓撲結(jié)構(gòu)圖。在這個拓撲中，Level-2級別的路由器沒有在同一個區(qū)域，而是分別屬于不同的區(qū)域。此時所有物理連續(xù)的Level-1-2和Level-2路由器就構(gòu)成了IS-IS的骨干區(qū)域。6.1IS-IS路由協(xié)議簡介6.1.1IS-IS協(xié)議基本概念2.IS-IS的拓撲結(jié)構(gòu)通過以上兩種拓撲結(jié)構(gòu)圖可以體現(xiàn)IS-IS與OSPF的不同點：（1）在IS-IS中，每個路由器都只屬于一個區(qū)域；而在OSPF中，一個路由器的不同端口可以屬于不同的區(qū)域。（2）在IS-IS中，單個區(qū)域沒有骨干與非骨干區(qū)域的概念；而在OSPF中，Area0被定義為骨干區(qū)域。（3）在IS-IS中，Level-1和Level-2級別的路由都采用SPF算法，分別生成最短路徑樹SPT（ShortestPathTree）；而在OSPF中，只有在同一個區(qū)域內(nèi)才使用SPF算法，區(qū)域之間的路由需要通過骨干區(qū)域來轉(zhuǎn)發(fā)。6.1IS-IS路由協(xié)議簡介6.1.1IS-IS協(xié)議基本概念3.IS-ID路由器的分類（1）Level-1路由器。（2）Level-2路由器。（3）Level-1-2路由器。4.

IS-IS的網(wǎng)絡類型5.DIS和偽節(jié)點6.

IS-IS的地址結(jié)構(gòu)6.1IS-IS路由協(xié)議簡介6.1.2IS-IS協(xié)議工作原理1.鄰居關(guān)系的建立兩臺運行IS-IS的路由器在交互協(xié)議報文實現(xiàn)路由功能之前必須首先建立鄰居關(guān)系。在不同類型的網(wǎng)絡上，IS-IS的鄰居建立方式并不相同。（1）廣播鏈路鄰居關(guān)系的建立。如圖6.4所示，以Level-2路由器為例，描述了廣播鏈路中建立鄰居關(guān)系的過程。Level-1路由器之間建立鄰居與此相同。6.1IS-IS路由協(xié)議簡介6.1.2IS-IS協(xié)議工作原理1.鄰居關(guān)系的建立（2）P2P鏈路鄰居關(guān)系的建立在P2P鏈路上，鄰居關(guān)系的建立不同于廣播鏈路。分為兩次握手機制和三次握手機制。1）兩次握手機制。只要路由器收到對端發(fā)來的Hello報文，就單方面宣布鄰居為Up狀態(tài)，建立鄰居關(guān)系。2）三次握手機制。此方式通過三次發(fā)送P2P的IS-ISHelloPDU最終建立起鄰居關(guān)系，類似廣播鄰居關(guān)系的建立。兩次握手機制存在明顯的缺陷。當路由器間存在兩條及以上的鏈路時，如果某條鏈路上到達對端的單向狀態(tài)為Down，而另一條鏈路同方向的狀態(tài)為Up，路由器之間還是能建立起鄰接關(guān)系。SPF在計算時會使用狀態(tài)為UP的鏈路上的參數(shù)，這就導致沒有檢測到故障的路由器在轉(zhuǎn)發(fā)報文時仍然試圖通過狀態(tài)為Down的鏈路。三次握手機制解決了上述不可靠點到點鏈路中存在的問題。這種方式下，路由器只有在知道鄰居路由器也接收到它的報文時，才宣布鄰居路由器處于Up狀態(tài)，從而建立鄰居關(guān)系。6.1IS-IS路由協(xié)議簡介6.1.2IS-IS協(xié)議工作原理2.IS-IS建立鄰居關(guān)系原則（1）只有同一層次的相鄰路由器才有可能成為鄰居。（2）對于Level-1路由器來說，區(qū)域號必須一致。（3）鏈路兩端IS-IS端口的網(wǎng)絡類型必須一致。（4）鏈路兩端IS-IS端口的地址必須處于同一網(wǎng)段。由于IS-IS是直接運行在數(shù)據(jù)鏈路層上的協(xié)議，并且最早設(shè)計是給CLNP使用的，IS-IS鄰居關(guān)系的形成與IP地址無關(guān)。但在實際的實現(xiàn)中，由于只在IP上運行ISIS，所以是要檢查對方的IP地址的。如果端口配置了從IP，那么只要雙方有某個IP（主IP或者從IP）在同一網(wǎng)段，就能建立鄰居，不一定要主IP相同。6.1IS-IS路由協(xié)議簡介6.1.2IS-IS協(xié)議工作原理3.IS-IS的缺省配置在使用和配置過程中，IS-IS的缺省配置，如表6.1所示。6.1IS-IS路由協(xié)議簡介1.創(chuàng)建IS-IS進程2.配置網(wǎng)絡實體名3.配置全局Level級別4.

建立IS-IS鄰居5.

檢查IS-IS基本功能的配置結(jié)果6.2IS-IS協(xié)議配置6.2.1配置IS-IS基本功能實例現(xiàn)網(wǎng)絡中有4臺路由器，用戶希望在這4臺路由器實現(xiàn)網(wǎng)絡互聯(lián)，并且因為AR1和AR2性能相對較低，配置AR1和AR2為Level-1路由器，使這兩臺路由器處理相對較少的數(shù)據(jù)信，相關(guān)端口與IP地址配置，如圖6.5所示，進行網(wǎng)絡拓撲連接。6.2IS-IS協(xié)議配置6.2.2配置IS-IS與動態(tài)BFD聯(lián)動功能實例路由器AR1、AR2、AR3和AR4之間運行IS-IS。使能AR1、AR2、AR3和AR4的IS-IS進程BFD特性；業(yè)務流量在主鏈路AR1→AR2→AR4上傳送，鏈路AR1→AR3→AR2→AR4作為備份鏈路；在AR1和AR2之間的鏈路上創(chuàng)建端口的BFD特性，當AR1和AR2之間的鏈路出現(xiàn)故障時，BFD能夠快速檢測到故障并通告給IS-IS協(xié)議，使業(yè)務流量使用備份鏈路傳送，相關(guān)端口與IP地址配置，如圖6.6所示，進行網(wǎng)絡拓撲連接。6.2IS-IS協(xié)議配置《高級網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目七BGP路由協(xié)議7.1BGP路由協(xié)議簡介7.2BGP協(xié)議配置教學目標、知識點：1．掌握BGP協(xié)議基本概念。

2．理解BGP協(xié)議工作原理。3．掌握BGP協(xié)議基本配置方法。4．掌握BGP協(xié)議與BFD協(xié)議聯(lián)動配置方法。項目七BGP路由協(xié)議邊界網(wǎng)關(guān)協(xié)議BGP（BorderGatewayProtocol）是一種實現(xiàn)自治系統(tǒng)AS（AutonomousSystem）之間的路由可達，并選擇最佳路由的距離矢量路由協(xié)議。為方便管理規(guī)模不斷擴大的網(wǎng)絡，網(wǎng)絡被分成了不同的自治系統(tǒng)。1982年，外部網(wǎng)關(guān)協(xié)議EGP（ExteriorGatewayProtocol）被用于實現(xiàn)在AS之間動態(tài)交換路由信息。但是EGP設(shè)計得比較簡單，只發(fā)布網(wǎng)絡可達的路由信息，而不對路由信息進行優(yōu)選，同時也沒有考慮環(huán)路避免等問題，很快就無法滿足網(wǎng)絡管理的