交换机相关技术原理及配置.ppt

资源描述

《交换机相关技术原理及配置.ppt》由会员分享，可在线阅读，更多相关《交换机相关技术原理及配置.ppt（124页珍藏版）》请在三一文库上搜索。

1、交换机、路由器防火墙、安全等设备,2013年7月赵晓丹,交换机主要技术和实现,概述、交换机接口介绍第1章.命令行操作基础第2章.网络设备文件管理第3章.网络设备基本调试第4章.配置VLAN 第5章.生成树协议第6章.配置链路聚合第7章. IP子网划分,概述.交换机介绍补充,交换机(英文：Switch，意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。二层交换机工作在数据链路层三层交换机工作在网络层主要负责数据转发和过滤,固化接口 10/100M自适应电口 10/100/1000M自适应电口

2、扩展插槽 10/100M自适应电口 10/100/1000M自适应电口 100M光纤接口 1000M光纤接口堆叠接口,10/100M,10/100/1000M,扩展插槽,扩展模块,概述.交换机接口-固化接口/扩展插槽,GBIC接口（ Giga Bitrate Interface Converter ）传输标准：1,000M 连接GBIC模块（逐渐被淘汰）常用GBIC模块,GBIC接口,GBIC接口,-SFP接口,SFP接口（ Small Formfactor Pluggable ）传输标准：1,000M 连接Mini-GBIC模块常用Mini-GBIC模块,SFP接口,-XENPA

3、K,XENPAK接口传输标准：10,000M 连接XENPAK模块（逐渐被淘汰）常用XENPAK模块,注：1.根据光纤介质的纤芯大小不同，传输距离会有所不同。 2.短距离使用长距模块时需加光衰,XENPAK接口,XFP接口传输标准：10,000M 连接XFP模块常用XFP模块,-XFP接口,XFP接口,SFP+接口传输标准：10,000M 连接SFP+模块常用SFP+模块,-SFP+,SFP+接口,第1章.命令行操作基础,配置网络设备的方法命令行使用入门常用的命令配置远程登录,通过Console口本地访问通过AUX口远程访问使用Telnet终端访问使用SSH终端访问,1

4、.访问网络设备命令行接口的方法,使用Console口进行连接,Console线缆,Router/Switch,终端,Console口,串口,创建新连接,选择COM口,设置属性参数,进入设备配置界面,-使用Console口进行连接,使用AUX口进行远程连接,Router/Switch,终端,PSTN,Modem,Modem,AUX口,串口,使用Telnet进行连接,主机,Router/Switch,IP网络,Telnet客户端,Telnet服务器,网络接口,网络接口,-连接失败,-连接成功，弹出登录提示,使用TCP端口23,连接设备的IP地址,使用SSH进行连接,SSH（Secure Shell

5、，安全外壳）在无安全保证的网络上提供安全的远程登录等服务由传输协议、验证协议和连接协议三部分组成使用TCP端口22 提供Password和Publickey两种验证方式,PSTN/ISDN,主机,Router/Switch,IP网络,SSH客户端,SSH服务器,2.命令视图,用户视图设备启动后的缺省视图,可查看启动后基本运行状态和统计信息系统视图配置系统全局通用参数的视图各类功能视图路由协议视图配置路由协议参数的视图接口视图配置接口参数的视图用户界面视图配置登陆设备的各个用户属性的视图。,各种视图之间的关系,用户视图,用户界面视图,接口视图,路由协议视图,VLAN视图

6、,用可以从任意视图直接回到用户视图,以任意方式登录命令行,system-view,quit,user-interface命令,quit,interface命令,quit,router命令,quit,vlan命令,quit,系统视图,3.常用设备管理命令,配置设备名称配置系统时间显示系统时间配置欢迎/提示信息,H3Csysname ? TEXT Host name (1 to 30 characters),clock datetime ? TIME Specify the time (HH:MM:SS),H3Cheader ? incoming Specify the banner of

7、the terminal user-interface legal Specify the legal banner login Specify the login authentication banner motd Specify the banner of today shell Specify the session banner,display clock,常用信息查看命令,查看版本信息查看当前配置显示接口信息显示接口IP状态与配置信息显示系统运行统计信息,display version,display current-configuration,display ip int

8、erface brief,display interface,display diagnostic-information,Telnet配置例子,RTA,system-view H3Ctelnet server enable H3Cinterface ethernet0/0 H3C-ethernet0/0ip address 192.168.0.254 24 H3Cuser-interface vty 0 H3C-ui-vty0set authentication password cipher 123456 H3C-ui-vty0user privilege level 2,PCA,IP地址

9、： 192.168.0.1 子网掩码： 255.255.255.0,Telnet客户端,Telnet服务器,G0/0,用Telnet登录,Microsoft Windows XP 版本 5.1.2600 (C) 版权所有 1985-2001 Microsoft Corp. C:Documents and Settingsusertelnet 192.168.0.254 * * Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. * * Without the owners prior written

10、 consent, * * no decompiling or reverse-engineering shall be allowed. * * Login authentication Password: ,输入密码,第2章.网络设备文件系统,网络设备的文件基础网络设备软件维护基础,1.网络设备的文件系统,设备以文件的方式对运行所需的数据进行存储网络设备通过文件系统管理这些文件主要文件应用程序文件配置文件日志文件,网络设备的存储方式,BootROM程序,应用程序文件起始配置文件（saved-configuration）日志文件,运行中的操作系统运行中的配置（current

11、-configuration）,路由器,在不同型号的设备上，Flash可能是内置的Flash存储器，也可能是CF卡,配置文件的操作,保存配置擦除配置设置下次启动的配置文件备份/恢复下次启动配置文件,save,reset saved-configuration,backup startup-configuration to dest-addr filename restore startup-configuration from src-addr filename,startup saved-configuration filename,2.配置文件的显示与维护,查看保存的配置文件查看系

12、统启动配置文件查看当前生效的配置查看当前视图下生效的配置,display saved-configuration,display startup,H3C-ui-vty0display this,display current-configuration,查看设备存储区域文件,VTY用户视图下输入 dir 可以看到生效的配置文件、系统文件、日志文件等；,用TFTP传输文件的工作方式,Host,Router/Switch,IP网络,TFTP服务器,TFTP客户端,在设备上使用TFTP服务,在执行上传/下载操作时，到TFTP服务器的可达路由可能有多条，用户可以配置客户端TFTP报文的源地址当设

13、备作为TFTP客户端时，可以把本设备的文件上传到TFTP服务器，还可以从TFTP服务器下载文件到本地设备下载分为普通下载和安全下载两种,tftp server-address get | put | sget source-filename destination-filename source interface interface-type interface-number | ip source-ip-address ,TFTP操作示例,tftp 192.168.0.10 get config.cfg /从远程TFTP服务器192.168.0.10上取得配置文件恢复到H3C设备上，此处

14、的config.cfg文件需放置在TFTP源程序同目录 The file config.cfg exists. Overwrite it? Y/N:y /此处提示设备中已经有配置文件了，是否覆盖？ Verifying server file. Deleting the old file, please wait. File will be transferred in binary mode Downloading file from remote tftp server, please wait. TFTP: 1329 bytes received in 0 second(s) File d

15、ownloaded successfully. /此处可观察TFTP服务器端状态显示，传输成功后可查看FLASH缓存下的配置文件生成时间,下载配置文件实例,网络设备的一般引导过程,加电,硬件自检,加载BootROM程序,加载应用程序,进入BootROM模式,进入命令行模式,加载启动配置,加载空配置,查找应用程序文件,找不到,找到,查找起始配置文件,找到,找不到,网络设备软件维护的一般性方法,在命令行模式中采用TFTP/FTP上传/下载应用程序及配置文件，实现应用程序升级在BootROM模式中通过以太口采用TFTP/FTP完成应用程序软件升级在BootROM模式中通过Console口采用XM

16、odem协议完成BootROM及应用程序的升级,第3章.网络设备基本调试命令,ping使用ICMP回显请求与应答检测网络连通性 tracert使用TTL超时机制检测网络连通性调试信息的输出由协议开关和屏幕开关两个开关控制对网络设备所支持的绝大部分协议和功能，系统都提供了相应的调试功能，帮助用户对错误进行诊断和定位调试信息的输出由两个开关控制,系统调试的操作,开启控制台对系统信息的监视功能打开调试信息的屏幕输出开关打开模块调试开关显示调试开关,terminal monitor,terminal debugging,display debugging,debugging module-

17、name,第4章.VLAN,VLAN简介 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。 VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。主要应用于交换机和路由器中，但主流应用还是在交换机之中。不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。,广播风暴,二层交换机,设备发出的广播帧在广播域中传播，占用网络带宽，降低设备性能。,二层交换机,PCA,PCB,PCC,PCD,广播帧,二层交换机,用路由器来隔离广播,二层交换机,路由器能够隔离广播，减小广播域范围。,路由器,PCA,PC

18、B,PCC,PCD,广播帧,二层交换机,用VLAN隔离广播,VLAN1,二层交换机,PCA,PCB,PCC,PCD,广播帧,VLAN2,二层交换机使用VLAN隔离广播，减小广播域范围。,VLAN的优点,有效控制广播域范围增强局域网的安全性灵活构建虚拟工作组,PCA,PCB,PCC,PCD,工作组1,工作组2,基于端口的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10,VLAN 20,基于MAC地址的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10,VLAN 20,

19、基于协议的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10 运行IP协议,VLAN 20 运行IPX协议,基于子网的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,10.0.0.1/24,VLAN 10,VLAN 20,10.0.0.2/24,20.0.0.1/24,20.0.0.2/24,VLAN基本配置,创建VLAN并进入VLAN视图将指定端口加入到当前VLAN中,Switch vlan vlan-id,Switch-vlan10 port interface-list,配置Trunk端口,配置端口的链路类

20、型为Trunk类型允许指定的VLAN通过当前Trunk端口设置Trunk端口的缺省VLAN,Switch-Ethernet1/0/1 port link-type trunk,Switch-Ethernet1/0/1 port trunk permit vlan vlan-id-list | all ,Switch-Ethernet1/0/1 port trunk pvid vlan vlan-id,配置Hybrid端口,配置端口的链路类型为Hybrid类型允许指定的VLAN通过当前Hybrid端口设置Hybrid端口的缺省VLAN,Switch-Ethernet1/0/1 port

21、link-type hybrid,Switch-Ethernet1/0/1 port hybrid vlan vlan-id-list tagged | untagged ,Switch-Ethernet1/0/1 port hybrid pvid vlan vlan-id,VLAN配置示例,PCA,PCB,PCC,PCD,E1/0/2,E1/0/1,E1/0/2,E1/0/1,E1/0/24,E1/0/24,SWAvlan 10 SWA-vlan10port Ethernet1/0/1 SWAvlan 20 SWA-vlan20port Ethernet1/0/2 SWAinterface

22、Ethernet1/0/24 SWA-Ethernet1/0/24port link-type trunk SWA-Ethernet1/0/24port trunk permit vlan 10 20,SWA,SWB,SWBvlan 10 SWB-vlan10port Ethernet1/0/1 SWBvlan 20 SWB-vlan20port Ethernet1/0/2 SWBinterface Ethernet1/0/24 SWB-Ethernet1/0/24port link-type trunk SWB-Ethernet1/0/24port trunk permit vlan 10

23、20,VLAN的作用是限制局域网中广播传送的范围；通过对以太网帧进行打标签操作，交换机区分不同VLAN的数据帧；交换机的端口链路类型分为Access、Trunk和Hybrid。 Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。,第5章.生成树协议,生成树协议 STP的作用 RSTP MSTP 生成树协议的配置,生成树协议,SWA,SWB,SWC,STP（Spanning Tree Protocol，生成树协议

24、）是用于在局域网中消除数据链路层物理环路的协议。通过在桥之间交换BPDU（Bridge Protocol Data Unit，桥协议数据单元），来保证设备完成生成树的计算过程。,BPDU,BPDU,BPDU,STP的作用,通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前路径发生故障时，激活冗余备份链路，恢复网络连通性,ROOT,物理段 A,物理段 C,物理段 E,物理段 B,物理段 D,生成树的不足,端口从阻塞状态进入转发状态必须经历两倍的Forwarding Delay时间如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性,SWA,SWB,SWC,DP,DP,RP,DP,RP

25、,Server,每次拓扑变化，我都至少有30秒的时间无法访问服务器！,RSTP,RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是STP协议的优化版 RSTP具备STP的所有功能 RSTP可以实现快速收敛在某些情况下，端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。,STP产生的原因是为了消除路径回环的影响 STP通过选举根桥和阻塞冗余端口来消除环路,第6章.链路聚合,链路聚合 (Link Aggregation )链路聚合一般又称为端口聚合、端口捆绑，其功能是将交换机的多个低带宽端口捆绑成一条高带宽链路，可以实现链路负载平衡。

26、避免链路出现拥塞现象。可通过两个三个或是四个端口进行捆绑，分别负责特定端口的数据转发，防止单条链路转发速率过低而出现丢包的现象。,链路聚合的作用,增加链路带宽提供链路可靠性,Link Aggregation,Server,PC,SWA,SWB,PCA,PCB,聚合链路负载分担原理,SWA,SWB,聚合后链路基于流进行负载分担,链路聚合分类,静态聚合双方系统间不使用聚合协议来协商链路信息动态聚合双方系统间使用聚合协议来协商链路信息 LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的、能够实现链路动态聚合

27、的协议,链路聚合的优点,价格便宜，性能带宽得到提升；不需要重新布线，也无需考虑千兆网传输距离极限问题； Trunking可以捆绑任何相关的端口，也可以随时取消设置，灵活性高。链路聚合可以提供负载均衡能力以及系统容错。,并不是所以端口都可以被聚合在一起，实现链路聚合过程中需要考虑在链路聚合的一端交换机上的几个端口需要满足下列条件：几个端口必须处于相同的VLAN中端口必须使用相同的网络介质几个端口必须都处于全双工工作模式几个端口必须是相同传输速率的端口,链路聚合的条件,第7章.IP子网划分,子网划分的需求子网划分基础知识子网划分相关计算 VLSM和CIDR,分类IP地址的低效性,I

28、P地址资源浪费严重 IP网络数量不敷使用业务扩展缺乏灵活性无法应对Internet的爆炸式增长,子网划分方法,子网划分前的两级IP地址,网络号,主机号,子网划分后的三级IP地址,网络号,主机号,子网号,IP地址与子网掩码,网络号,主机号,子网号,11111111111111111,00000000,11111111,网络号,子网号,主机号,IP地址,子网掩码,默认掩码,A类地址默认掩码为255.0.0.0 B类地址默认掩码为255.255.0.0 C类地址默认掩码为255.255.255.0,示例：计算子网地址,134.144.1.1,AND,255.255.255.0,134.144.1

29、.0,子网掩码与IP地址进行逐位逻辑与运算获得网络地址,134.144.1.255,IP地址,子网掩码,子网地址,广播地址,计算子网内可用主机地址数,假设子网的主机号位数为N，则可用地址数为2N-2个主机号全1为广播地址，主机号全0为网络地址,11,11,1.1,网络号,主机号,子网号,N位,01,010,1.10,示例：计算子网内可用地址数,00010 00011,11101 11110,子网地址为192.168.3.192，子网掩码为255.255.255.224，计算该子网内的可用主机地址数量,掩码位数等于27 N32275 可用的主机地址数等于25-2=30,根据子网掩码计算子网数,

30、11,00,1.1,默认子网掩码,主机号,子网号,M位,假设子网号位数为M，则子网数为2M个,VLSM,子网划分的局限性无法实现把网络划分为不同大小的子网常常会浪费许多主机地址 VLSM（Variable Length Subnet Mask, 可变长子网掩码）允许使用多个子网掩码划分子网使组织的IP地址空间得到更有效的利用,CIDR,Internet面临的问题随着Internet的成长，路由表迅速扩大 IPv4地址将很快耗尽 CIDR（Classless Inter-Domain Routing，无类域间路由) 将好几个IP网络结合在一起，使用一种无类别的域际路由选择算法，可以减少

31、由核心路由器运载的路由选择信息的数量。消除了自然分类地址和子网划分的界限将网络前缀相同的连续IP地址组成CIDR地址块支持强化地址汇聚,VLSM与CIDR区别,CIDR建立于“超级组网”的基础上，“超级组网”是“子网划分”的派生词，可看作子网划分的逆过程。子网划分时，从地址主机部分借位，将其合并进网络部分；超级组网中，则是将网络部分的某些位合并进主机部分。这种无类别超级组网技术通过将一组较小的无类别网络汇聚为一个较大的单一路由表项，减少了Internet路由域中路由表条目的数量。,无类域间路由斜线表示法,CIDR使用斜线表示法表示一个网络斜线表示法采用IP地址后跟一个斜线“/”，斜

32、线后是一个表示网络前缀长度的数值,27位网络前缀,网络地址,网络掩码,192.168.1.1 / 27,路由系统主要内容,概述第1章.IP路由原理第2章.直连路由和静态路由第3章.路由协议概述第4章.RIP原理及配置第5章.OSPF基础第6章.用访问控制列表实现包过滤第7章. NAT网络地址转换,第1章.IP路由原理,路由器负责将数据报文在逻辑网段间进行转发;路由器设备工作在第三层-网络层；每台路由器都有路由表，路由存储在路由表中；路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护

33、路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。路由环路是由错误的路由导致的，它会造成IP报文在网络中循环转发，浪费网络带宽；,路由和路由表,路由是指导IP报文发送的路径信息；路由信息写在路由表中；路由表是路由器转发报文的判断依据。路由表有目的地址、下一跳、出接口、度量值要素构成；,路由器单跳操作,查找路由表,IP报文入站,查看下一跳地址,送往接口,转发,丢弃,没有匹配路由,在直连链路上,以下一跳作为目的地址,不在直连链路上,报文封装,有匹配路由,路由的来源,直连路由开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由。手工配置的静态路由

34、无开销，配置简单，需人工维护，适合简单拓扑结构的网络。路由协议发现的路由开销大，配置复杂，无需人工维护，适合复杂拓扑结构的网络。,路由度量值（Metric）,路由度量值表示到达这条路由所指目的地址的代价。通常影响路由度量值的因素：线路延迟、带宽、线路使用率、线路可信度、跳数、最大传输单元不同路由协议参考的因素不同,如果到相同目的地址有多个路由来源，则：以Preference（优先级）确定不同类型优先级 Preference越小，优先级越高优先级最高的路由被添加进路由表,目的网段比较,生效路由,优先级比较,添加到路由表,不同,相同,优先级高,路由优先级,各类路由默认优先级,路由环

35、路,E1/0,S0/0,S0/0,S1/0,S0/0,11.1.0.0,11.4.0.0,RTA,RTB,RTC,S0/1,E1/0,S0/1,环路产生的原因：配置错误或协议缺陷,查看设备路由表,Router display ip routing-table,查看IP路由表摘要信息查看符合指定目的地址的路由信息查看路由表的统计信息,Router display ip routing-table ip-address mask-length | mask ,Router display ip routing-table statistics,第2章.直连路由和静态路由,路由器负责将数据报文在

36、逻辑网段间进行转发路由是指导路由器如何进行数据报文发送的路径信息每台路由器都有路由表，路由存储在路由表中路由环路是由错误的路由导致的，它会造成IP报文在网络中循环转发，浪费网络带宽,1.直连路由的建立,为路由器的接口配置IP地址,该接口物理层和链路层状态均为up,该接口所属网段的直连路由进入路由表,基本的局域网间路由,SWA,SWB,Hub,RTA,10.1.1.1/24,E0/0,E1/0,E0/1,10.1.3.1/24,10.1.2.1/24,IP=10.1.1.2/24 GW=10.1.1.1,IP=10.1.1.3/24 GW=10.1.1.1,IP=10.1.3.2

37、/24 GW=10.1.3.1,IP=10.1.3.3/24 GW=10.1.3.1,IP=10.1.2.3/24 GW=10.1.2.1,IP=10.1.2.2/24 GW=10.1.2.1,3.静态路由配置,静态路由配置命令配置要点：只有下一跳所属的接口是点对点接口时，才可以填写interface-type interface-name，否则必须填写gateway-address 目的IP地址和掩码都为0.0.0.0的路由为默认路由,Routerip route-static dest-address mask | mask-length gateway-address | inter

38、face-type interface-name preference preference-value ,RTB,RTC,RTD,RTA,Server,PC,静态路由配置示例,配置时须注意：所有路由器上都必须配置到所有网段的路由下一跳地址须为直连链路上可达的地址,10.4.0.0/24,10.2.0.0/24,10.1.0.0/24,10.3.0.0/24,10.5.0.0/24,RTBip route-static 10.1.0.0 255.255.255.0 10.2.0.1 RTBip route-static 10.4.0.0 255.255.255.0 10.3.0.2 RTB

39、ip route-static 10.5.0.0 255.255.255.0 10.3.0.2,.1,.1,.1,.2,.2,.2,RTB,RTC,RTD,RTA,Server,PC,静态默认路由配置,10.4.0.0/24,10.2.0.0/24,10.1.0.0/24,10.3.0.0/24,10.5.0.0/24,RTBip route-static 10.1.0.0 255.255.255.0 10.2.0.1 RTBip route-static 0.0.0.0 0.0.0.0 10.3.0.2,.1,.1,.1,.2,.2,.2,RTAip route-static 0.0.0.0

40、 0.0.0.0 10.2.0.2,RTDip route-static 0.0.0.0 0.0.0.0 10.4.0.1,静态路由实现路由备份和负载分担,RTA,S0/0,ISP乙,路由备份：到相同目的地址的下一跳和优先级都不同优先级高的为主，低的为备负载分担：到相同目的地址的下一跳不同，但优先级相同到目的地的流量将均匀分布,ISP甲,S0/1,第3章.路由协议概述,路由可以静态配置，也可以通过路由协议来自动生成路由协议能够自动发现和计算路由，并在拓扑变化时自动更新，无需人工维护，适用于复杂的网络。,1.路由协议与可路由协议,路由协议路由器用来计算、维护网络路由信息的协议，通常

41、有一定的算法，工作在传输层或应用层。常见的路由协议有RIP、OSPF、BGP等可路由协议可被路由器转发的协议，工作在网络层。常见的可路由协议有IP、IPX等,动态路由协议在协议栈中的位置,RIP基于UDP，端口号520 OSPF基于IP，协议号89 BGP基于TCP，端口号179,动态路由协议的基本原理,网络中所有路由器须实现相同的某种路由协议并已经启动该协议邻居发现路由器通过发送广播报文或发送给指定的路由器邻居以主动把自己介绍给网段内的其它路由器。路由交换每台路由器将自己已知的路由相关信息发给相邻路由器。路由计算每台路由器运行某种算法，计算出最终的路由来。路由维护路由

42、器之间通过周期性地发送协议报文来维护邻居信息。,距离矢量协议与链路状态协议,距离矢量路由协议 RIP BGP 链路状态路由协议 OSPF IS-IS,衡量路由协议的主要指标,协议计算的正确性协议使用的算法能够计算出最优的路由，且正确无自环。路由收敛速度当网络的拓扑结构发生变化之后，能够迅速感知并及时更新相应的路由信息。协议占用系统开销协议自身的开销（内存、CPU、网络带宽）最小。协议自身的安全性协议自身不易受攻击，有安全机制。协议适用网络规模协议可以应用在何种拓扑结构和规模的网络中。,第4章.RIP路由原理及配置,RIP协议概述,RIP是Routing Information

43、 Protocol（路由信息协议）的简称。 RIP是一种基于距离矢量（Distance-Vector）算法的路由协议。 RIP协议适用于中小型网络，分为RIPv1和RIPv2。 RIP支持水平分割、毒性逆转和触发更新等工作机制防止路由环路。 RIP协议基于UDP传输，端口号520。,第5章.OSPF路由基础,概述,RIP路由协议存在无法避免的缺陷，多用于构建中小型网络；随着网络规模的日益扩大，RIP路由协议已经不能完全满足需求 OSPF 路由协议解决了很多RIP路由协议无法解决的问题，因而得到了广泛应用。,什么是OSPF,OSPF（Open Shortest Path First，开放最短

44、路径优先）是IETF 开发的基于链路状态的自治系统内部路由协议，目前针对IPv4 协议使用的是OSPF Version 2 OSPF仅传播对端设备不具备的路由信息，网络收敛迅速，并有效避免了网络资源浪费 OSPF直接工作于IP层之上，IP协议号为89 OSPF以组播地址发送协议包,要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。 ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。,第6章.用访问控制列表实现包过滤,ACL概述,ACL（Access Con

45、trol List，访问控制列表）是用来实现数据包识别功能的 ACL可以应用于诸多方面包过滤防火墙功能 NAT（Network Address Translation，网络地址转换） QoS（Quality of Service，服务质量）的数据分类路由策略和过滤按需拨号,基于ACL的包过滤技术,对进出的数据包逐个过滤，丢弃或允许通过 ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤,入方向过滤,入方向过滤,出方向过滤,出方向过滤,接口,接口,路由转发进程,入站包过滤工作流程,匹配第一条规则,数据包入站,匹配第二条规则,匹配最后一

46、条规则,丢弃,通过,Yes,Permit,是否配置入方向ACL 包过滤,No,Permit,Deny,Permit,Default Permit,Deny,Deny,Default Deny,数据包进入转发流程,No,No,No,检查默认规则设定,出站包过滤工作流程,匹配第一条规则,数据包到达出接口,匹配第二条规则,匹配最后一条规则,丢弃,通过,Yes,Permit,是否配置出方向ACL 包过滤,No,Permit,Deny,Permit,Default Permit,Deny,Deny,Default Deny,数据包出站,No,No,No,检查默认规则设定,包过滤防火墙使用ACL过滤数据包；ACL还可用于NAT、QoS、路由策略、按需拨号等基本ACL根据源IP地址进行过滤；高级ACL根据IP地址、IP协议号、端口号等进行过滤 ACL规则的匹配顺序会影响实际过滤结果 ACL包过滤防火墙的配置位置应尽量避免不必要的流量进入网络,网络迅速发展， IPv4地址不敷使用 IPv4地址分配不均私有地址用户需要访问Internet NAT提供私有地址到公有地址的转换,第7章.NAT网络地址转换,公有地址和私有地址,公司A 10.0.0.0/8,公司B 10.0.0.

展开阅读全文