單元3路由、ACL與QoS通信技術(shù)教研室

3.1路由選擇與路由器的原理

3.2路由協(xié)議與自治系統(tǒng)

3.3路由信息協(xié)議RIP

3.4OSPF內(nèi)部路由協(xié)議與BGP外部路由協(xié)議在廣域網(wǎng)中，最基本的通信設備是組成通信子網(wǎng)的路由器，路由器通過點到點的長距離鏈路互連，有多個輸入和輸出端口，主機通過點到點的鏈路與路由器相連．從一個源端到達目標端由許多條路徑，那么如何選擇一條最佳路徑進行數(shù)據(jù)的傳輸呢？路由器的主要功能是對主機要傳輸?shù)臄?shù)據(jù)進行存儲和轉(zhuǎn)發(fā)，為此，就必須為其在眾多的網(wǎng)絡路徑中選擇一條最優(yōu)路徑，這就是路由選擇．路由選擇是路由器最主要的功能之一．路由選擇（1）路由器的構(gòu)成路由器是一種具有多個輸入端口和多個輸出端口的專用計算機，其任務是轉(zhuǎn)發(fā)分組。也就是說，將路由器某個輸入端口收到的分組，按照分組要去的目的網(wǎng)絡，把該分組從路由器的某個合適的輸出端口轉(zhuǎn)發(fā)給下一跳路由器。下一跳路由器也按照這種方法處理分組，直到該分組到達終點為止。它負責數(shù)據(jù)報的分段功能，通過執(zhí)行路由協(xié)議和路由算法實現(xiàn)路由表信息的交換和計算更新與維護１．路由選擇的基本概念Cisco7202路由器Cisco7606路由器Cisco7600路由器(1)路由器的構(gòu)成

１．路由選擇的基本概念課件制作人：謝希仁謝鈞路由選擇路由選擇處理機路由選擇協(xié)議路由表3輸入端口3交換結(jié)構(gòu)輸入端口輸出端口分組轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)表分組處理輸出端口……11133122223——網(wǎng)絡層2——數(shù)據(jù)鏈路層1——物理層1“轉(zhuǎn)發(fā)”(forwarding)就是路由器根據(jù)轉(zhuǎn)發(fā)表將用戶的IP數(shù)據(jù)報從合適的端口轉(zhuǎn)發(fā)出去。2“路由選擇”(routing)則是按照分布式算法，根據(jù)從各相鄰路由器得到的關(guān)于網(wǎng)絡拓撲的變化情況，動態(tài)地改變所選擇的路由。3路由表是根據(jù)路由選擇算法得出的。而轉(zhuǎn)發(fā)表是從路由表得出的。4在討論路由選擇的原理時，往往不去區(qū)分轉(zhuǎn)發(fā)表和路由表的區(qū)別5若路由器處理分組的速率小于分組進入隊列的速率，則隊列的存儲空間最終必定會填滿，這就使后面進入隊列分組由于沒有存儲空間而只能被丟棄。6路由器中的輸入或輸出隊列產(chǎn)生溢出是造成分組丟失的重要原因。(1)路由器的構(gòu)成

１．路由選擇的基本概念１．路由選擇的基本概念(2)路由表：路由表：每個路由器都有一個路由表，路由表是路由器進行路由選擇的主要依據(jù)，路由表必須包含所有可能的目標網(wǎng)絡地址和到達該目標網(wǎng)絡地址的最優(yōu)路徑的下一站IP地址．路由表告訴路由器向哪個邏輯網(wǎng)段發(fā)送數(shù)據(jù)信息和用哪個路由器轉(zhuǎn)發(fā)這些數(shù)據(jù)信息。(3）靜態(tài)路由:是指路由表在由人工配置和計算之后不再改變的路由信息組織方式．當網(wǎng)絡發(fā)生變化時，必須由人工進行更新和配置．采用靜態(tài)路由，從原主機到目標主機的所有數(shù)據(jù)都按同一條路徑傳輸，靜態(tài)路由它要求網(wǎng)絡管理人員預先定義要通信的所有邏輯網(wǎng)絡，它通過指定默認路由器，轉(zhuǎn)發(fā)所有未定義目標網(wǎng)絡的通信．這種路由表的組織形式最大的優(yōu)點就是簡單，但是也有缺點：不夠靈活，無法處理因網(wǎng)路拓撲變化和擁塞故障作出反應．一、路由選擇一、路由選擇路由選擇的基本概念動態(tài)路由：當網(wǎng)絡變化時路由表要隨時更新，稱為動態(tài)路由．動態(tài)路由的實現(xiàn)取決于如下兩個基本功能：交換路由信息：由路由協(xié)議來解決，它規(guī)定路由信息的交換，包括如何傳遞路由信息的更新，傳遞什么等計算、更新和維護路由表：由路由算法來解決，路由算法計算更新路由表的目標是使表中包含最優(yōu)路徑．路由選擇的基本原理:由誰來選擇：路由器一、路由選擇路由選擇的基本原理:什么時侯選擇：取決于采用的數(shù)據(jù)交換方式，數(shù)據(jù)報需要在每個包到達路由器時單獨選擇路由；虛電路僅在建立虛電路時選擇路經(jīng)，以后數(shù)據(jù)傳輸不須再進行路由選擇．什么是最優(yōu)路徑：路經(jīng)最優(yōu)有不同的度量方式，可基于某一鏈路特征，也可由多個特征組成，鏈路特征有：帶寬時延可靠性負載跳數(shù)費用上述特性都可用數(shù)字表示，即用“距離”表示二、路由協(xié)議及自治系統(tǒng)路由協(xié)議：路由器交換路由信息的約定。路由器的主要職責是接收IP數(shù)據(jù)報，按照數(shù)據(jù)報的目標網(wǎng)絡地址進行進行路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)。為了進行動態(tài)路由選擇，路由器之間必須進行交換路由信息，有了路由信息才能進行計算和構(gòu)造路由表。路由器之間進行路由信息交換的約定，就是路由協(xié)議。Internet路由協(xié)議根據(jù)所適用的范圍可分為兩類：內(nèi)部路由協(xié)議IRP（InteriorRouterProtocol）外部路由協(xié)議ERP（ExteriorRouterProtocol）內(nèi)部路由協(xié)議IRP：也稱為內(nèi)部網(wǎng)關(guān)協(xié)議IGP，是一個自治系統(tǒng)內(nèi)路由器之間交換路由信息使用的協(xié)議。主要有：路由信息協(xié)議RIP（RouterInformationProtocol）、路由信息協(xié)議RIP-2、開放最短路徑優(yōu)先協(xié)議OSPF（OpenShortestPathProtocol）和ISO網(wǎng)際互連協(xié)議（中間系統(tǒng)到中間系統(tǒng)協(xié)議IS-IS和端接系統(tǒng)到中間系統(tǒng)協(xié)議ES-IS）。前三個協(xié)議是TCP/IP協(xié)議族的一部分，只能路由IP分組，ISO網(wǎng)際互連協(xié)議可以路由IP分組和OSI無連接網(wǎng)絡層協(xié)議ISOCNLP分組。外部路由協(xié)議ERP：也稱為外部網(wǎng)關(guān)協(xié)議EGP（ExteriorGatewayProtocol）是不同自治系統(tǒng)的路由器之間交換信息使用的協(xié)議。外部路由協(xié)議主要是邊界網(wǎng)關(guān)路由協(xié)議:BGP（BorderGatewayprotocol）。01021、路由協(xié)議：路由器交換路由信息的約定。二、路由協(xié)議及自治系統(tǒng)Internet互連網(wǎng)絡是由許多單獨管理和運行的互連網(wǎng)組成。從路由計算的角度看，Internet是由許多的自治系統(tǒng)AS（AutonomousSystem）互連而成。所謂自治系統(tǒng)就是指由一些路由器連接而成的互聯(lián)網(wǎng)，這些路由器是在單一機構(gòu)的管理和操作之下，獨立地運行。每個自治系統(tǒng)獨立地采用自己的路由算法和路由協(xié)議，實行獨立的管理。01自制系統(tǒng)的劃分就是可以實現(xiàn)分層次的路由選擇，以便解決大規(guī)模網(wǎng)絡環(huán)境下巨大路由表信息交換問題和各部門內(nèi)部網(wǎng)絡拓撲隱藏保護問題。自治系統(tǒng)路由器使用一種內(nèi)部路由選擇協(xié)議和共同的度量來確定內(nèi)部路由，同時強調(diào)一個AS對于其他AS表現(xiàn)出的是一個獨立和統(tǒng)一的路由選擇策略。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)外部網(wǎng)關(guān)自治系統(tǒng)的基本概念I(lǐng)NTERNET06主機連接點04自治系統(tǒng)01物理網(wǎng)絡03核心網(wǎng)絡05內(nèi)部網(wǎng)關(guān)02Internet中許多的自治系統(tǒng)AS都十分的龐大，為了實現(xiàn)更好的區(qū)域管理，自治系統(tǒng)可進一步劃分為若干個區(qū)（Area）。每個區(qū)是由相連的一組網(wǎng)絡和與這組網(wǎng)絡之一連接的路由器組成。區(qū)與區(qū)的網(wǎng)絡不重疊。每個區(qū)有它自己的拓撲數(shù)據(jù)庫和有向圖。網(wǎng)絡細節(jié)在區(qū)外不可見，區(qū)內(nèi)的路由器也不知道區(qū)外的詳細拓撲。這種信息的隔離可以減少路由信息的流量。01每個自治系統(tǒng)都有一個核心主干區(qū)，編號為0。所有其他區(qū)都與主干區(qū)相連，從自治系統(tǒng)的任何一個區(qū)可通過主干區(qū)到達另一區(qū)。主干區(qū)由不包含任一區(qū)的物理網(wǎng)絡、與其相連的路由器以及屬于多個區(qū)的路由器組成。主干區(qū)的拓撲在主干區(qū)外不可見。其示意圖如圖所示。022、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)二、路由協(xié)議及自治系統(tǒng)

2、自治系統(tǒng)的基本概念

R1N1N2N3N4R2R3R4R6N11N10N9R9R10R11N6N8N7R8R10R7R5N12N13N14N12N15區(qū)1區(qū)2區(qū)3自治系統(tǒng)內(nèi)部路由器：完全在自治系統(tǒng)的區(qū)內(nèi)，這類路由器對于本區(qū)的內(nèi)部路由以及本區(qū)的區(qū)界路由運行相同路由算法。區(qū)界路由器：連接兩個或多個區(qū)，它們除了運行本區(qū)的基本路由算法外，還要運行相連區(qū)的多個復制路由信息，同時也要運行主干區(qū)的路由信息。主干路由器：由所有的區(qū)界路由器和主干區(qū)內(nèi)部路由器組成。在全部主干路由器上運行基本路由算法時，兩個區(qū)界路由器可能有通過不同區(qū)的幾條不同路徑，這些路徑應分別計算并進行比較，找出最短路徑。自治系統(tǒng)的邊界路由器：與其他自治系統(tǒng)的邊界路由器交換外部信息。自治系統(tǒng)的邊界路由器可以是內(nèi)部路由器、區(qū)界路由器也可以是主干路由器。2、自治系統(tǒng)的基本概念二、路由協(xié)議及自治系統(tǒng)三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是由Xerox網(wǎng)絡系統(tǒng)的路由協(xié)議發(fā)展而來的。RIP在1982年綁定為TCP/IP協(xié)議族的一部分而成為IP路由的事實標準。RIP實現(xiàn)在自治系統(tǒng)內(nèi)部執(zhí)行路由功能。每個路由器向其鄰居傳送整個路由表。當自治系統(tǒng)變大后，其實用性就大大減弱。在小型的同構(gòu)網(wǎng)絡中，RIP是一個非常有效的路由協(xié)議。RIP每30秒鐘廣播一次路由表更新消息來更新路由信息。一個RIP設備收到更新后，將它當前的信息與接收到的更新信息進行比較。當更新路由信息包含下列條目之一時一條包含以前從未到達的目標路由和相應的距離信息（發(fā)現(xiàn)新的目的地）一條具有更小代價的到達一個已知目的地的新的路由（發(fā)現(xiàn)新的路徑）一條到已知目的地的已知路由具有新的代價。（已有路徑上更新最佳距離）三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP是基于距離向量路由算法，RIP每一個路由器維護一個到達其他每一個目標網(wǎng)絡的距離記錄，即距離向量。RIP的“距離”概念是指：路由器直接連接的網(wǎng)絡距離為1，到非直接連接的網(wǎng)絡距離定義為所經(jīng)過的路由器數(shù)，即我們所說的“跳數(shù)”。距離越短，表明到達目標網(wǎng)絡的跳數(shù)越少，路徑越短。RIP允許一條路徑最大只能包含16個路由器跳數(shù)，如果一個目標網(wǎng)絡需要經(jīng)過16跳才能到達，那么RIP認為該路由器不可達。RIP是一種分布式路由選擇協(xié)議，其特點如下：僅和相鄰路由器交換路由信息【和誰交換】交換當前路由器所有的路由信息，即自己的路由表[交換什么]按照固定時間進行路由信息交換。[什么時間交換]RIP使用定時器來解決鏈路失效和相鄰路由失效問題。若180秒內(nèi)當前路由器沒有收到相鄰路由器的任何信息，RIP認為該相鄰路由器或鏈路失效。當前路由器作出判定后，該路由器就向它的其他相鄰路由器發(fā)送關(guān)于這個失效的消息。隨后對路由表中包含經(jīng)過失效路由或鏈路的路由信息進行更改。RIP采用的是一種迭代學習的路由表建立算法，路由表主要包括：目標網(wǎng)絡地址、到達該目標網(wǎng)絡的最短距離、應該經(jīng)過的下一跳IP地址。RIP所采用的距離向量路由算法具有收斂速度慢、計數(shù)無限、路由循環(huán)等問題,RIP采用了一些策略：水平分割、帶毒性逆轉(zhuǎn)水平分割、抑制方法。0103021、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIP收到相鄰路由器（其地址為X）的一個RIP報文：解釋：假如相鄰路由器X=交換RIP報文中包含“，3，”，即我經(jīng)過路由器端口，到達目標網(wǎng)絡的距離是3.收到信息的路由器就把RIP報文改為：“，4，”，然后執(zhí)行下一步。RIP的路由信息更新原理：先修改此RIP報文中的所有項目：把“下一跳”字段中的地址都改為X，并把所有的“距離”字段的值加1。對修改后的RIP報文中的每一個項目，重復以下步驟：三、路由信息協(xié)議RIP三、路由信息協(xié)議RIP路由信息協(xié)議RIPRIP的路由信息更新原理：IF當前路由表中沒有包含目標網(wǎng)絡N，THEN把該項目加到路由表中。ELSEIF原路由表中到達目標網(wǎng)絡N的下一跳地址是X，THEN把收到的RIP信息替換原路由表中的信息。ELSEIF收到RIP中的距離小于路由表中的距離，THEN進行更新，ELSE，什么也不做。ENDIF;ENDIF;ENDIF.若3分鐘還沒有收到相鄰路由器的更新路由表，則把此相鄰路由器記為不可達路由器，即將距離置為16。(4)返回。三、路由信息協(xié)議RIP

2、路由信息協(xié)議RIP-2RIP在最初設計的時候并沒有考慮支持自治系統(tǒng)、子網(wǎng)和認證，也不能解析邊界網(wǎng)關(guān)路由協(xié)議BGP。為了解決上述問題，1998年對原來的RIP進行了擴充，形成了RIP-2。在RIP分組協(xié)議格式中，保留了幾個未使用字段，在RIP-2中對其進行擴充。如紅色部分所示：命令1字節(jié)版本號1字節(jié)未使用2字節(jié)AFI2字節(jié)路由標記2字節(jié)IP地址4字節(jié)子網(wǎng)掩碼4字節(jié)下一跳4字節(jié)量度4字節(jié)RIP-2增加的信息包括路由標記認證信息，使得本路由器可以確認獲得的信息來自合法的鄰居信息。同時增加了子網(wǎng)掩碼字段，以支持可變長的子網(wǎng)劃分。RIP-2協(xié)議格式字段的含義：實現(xiàn)認證AFI：如果RIP分組的第一個信息的AFI字段是FFFF，那么表示該信息是一個認證分組。目前RIP－2只支持簡單的密碼認證。路由標記字段：路由標記字段使得RIP可以區(qū)分內(nèi)部RIP路由和外部RIP路由。它們通常從外部網(wǎng)關(guān)協(xié)議BGP或另一個內(nèi)部網(wǎng)關(guān)協(xié)議如OSPF導入。IP地址：指示目標網(wǎng)絡的IP地址子網(wǎng)掩碼：RIP-2不象RIP那樣僅支持相同的子網(wǎng)路由，它可以支持變長的子網(wǎng)地址。在Internet網(wǎng)絡中，網(wǎng)絡地址中包含子網(wǎng)標識。路由器在進行路由選擇時也要依靠子網(wǎng)地址來確定路由。子網(wǎng)地址字段包含子網(wǎng)掩碼，應用子網(wǎng)掩碼來生成網(wǎng)絡地址。2、路由信息協(xié)議RIP-2三、路由信息協(xié)議RIP路由信息協(xié)議RIP路由信息協(xié)議RIP-2下一跳字段：該字段表示包含目標地址的分組將被轉(zhuǎn)發(fā)的下一站的IP地址。該字段可以避免IP分組被額外的跳轉(zhuǎn)路由。量度：RIP-2實現(xiàn)組播功能。而不是象RIP采用廣播功能。這樣可以減少不監(jiān)聽RIP－2分組的主機負擔。RIP-2改進了RIP的性能，但是由于有16跳的限制，它不能為大型網(wǎng)絡提供路由服務。所以，目前網(wǎng)絡采用開發(fā)最短路徑優(yōu)先OSPF協(xié)議。開放最短路徑優(yōu)先路由協(xié)議OSPF是一種基于鏈路狀態(tài)路由算法的內(nèi)部網(wǎng)關(guān)協(xié)議。1989年IETF委員會的一個工作組，對鏈路狀態(tài)路由協(xié)議進行了擴充和修改，研制成功了OSPF協(xié)議。其主要為TCP/IP互連網(wǎng)絡環(huán)境設計。其目標是使TCP/IP協(xié)議快速響應網(wǎng)絡拓撲變化，而又減少路由信息量。OSPF在20世紀80年代成為內(nèi)部網(wǎng)關(guān)協(xié)議的標準。目前許多的路由器都支持OSPF協(xié)議。1開放最短路徑優(yōu)先路由協(xié)議OSPF的“開放”指的是公開發(fā)表，不受任何廠家限制，“最短路徑優(yōu)先”指的是采用鏈路狀態(tài)路由算法的SPF。OSPF是專門為大型異構(gòu)網(wǎng)絡設計，支持16比特的路由選擇量度，允許網(wǎng)管人員基于流量負載、傳輸延遲、鏈路速率以及帶寬來設計最小代價的路由選擇方案。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4在自治系統(tǒng)內(nèi)部采用洪泛法實現(xiàn)所有路由信息的交換。一個路由器只與其相鄰的路由器進行路由信息的交換，最終實現(xiàn)整個自治區(qū)域的信息交換。交換的路由信息只包含當前路由器的相鄰路由和到達相鄰路由的距離，即鏈路狀態(tài)包LSP。OSPF作為鏈路狀態(tài)路由協(xié)議，每個路由器維持一個鏈路狀態(tài)數(shù)據(jù)庫，該數(shù)據(jù)庫描述自治系統(tǒng)的拓撲。只有當鏈路狀態(tài)發(fā)生變化時，才采用洪泛法交換路由信息。RIP采用的卻是定期交換路由信息的方法。自治系統(tǒng)中每個路由器的鏈路狀態(tài)合在一起就是自治系統(tǒng)的拓撲數(shù)據(jù)庫。從而形成全網(wǎng)的拓撲數(shù)據(jù)圖。根據(jù)該拓撲數(shù)據(jù)庫，每個路由器構(gòu)造一個以它為根的最短路徑樹。這棵樹給出了到達自治系統(tǒng)每個目標網(wǎng)絡的路徑。OSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPF123456四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF

一個自治系統(tǒng)的拓撲數(shù)據(jù)庫可以用有限圖表示，在有限圖中：頂點有兩類，即路由器和物理網(wǎng)絡。網(wǎng)絡也可分為與多路由器連接的傳輸網(wǎng)和只與一個路由器連接的根段網(wǎng)。圖的邊有兩類：一類連接兩個路由器，表示它們之間的點到點的鏈路；另一類連接一個路由器和一個網(wǎng)絡，代表路由器直接連接在該網(wǎng)上。R1N1N3R4R2R3N45735649在自治系統(tǒng)中，每個路由器維持該自治系統(tǒng)的有限圖數(shù)據(jù)庫。根據(jù)有限圖利用Dijkstra算法，就可以計算出從它到所有的目標網(wǎng)絡的最短距離。1OSPF的路由選擇在兩個層面進行，低層是在自治系統(tǒng)的區(qū)內(nèi)進行路由選擇。高層是在自治系統(tǒng)的區(qū)間進行路由選擇，由穿越主干網(wǎng)的流量組成。為了減少主干網(wǎng)的路由選擇更新，每個區(qū)域有一個指定的區(qū)界路由器。在區(qū)域內(nèi)，每個路由器與指定的區(qū)界路由器交換鏈路狀態(tài)信息。指定區(qū)界路由器負責代表本網(wǎng)絡產(chǎn)生鏈路狀態(tài)包LSP與主干網(wǎng)交換路由信息。2OSPF協(xié)議3開放最短路徑優(yōu)先路由協(xié)議OSPF4

開放最短路徑優(yōu)先路由算法的主要特點有：（1）OSPF可根據(jù)IP分組的不同服務類型計算出不同的最佳路由。（2）OSPF可以實現(xiàn)多路徑間的負載平衡，到達同一目標網(wǎng)絡有多條相同距離的路徑時，可將通信量分配到不同的路徑傳輸。（3）在OSPF路由器之間交換的分組，具有鑒別功能。（4）OSPF支持可變長度的子網(wǎng)掩碼和CIDR.（5）OSPF設置一個32位的鏈路狀態(tài)序號，序號越大狀態(tài)越新。四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPF開放最短路徑優(yōu)先路由算法的分組類型：（1）問候分組：用來發(fā)現(xiàn)和維持鄰居的可達性關(guān)系。OSPF每隔10S進行一次問候分組的交換，若40S內(nèi)沒應答，則視為鄰居路由不可達。（2）數(shù)據(jù)庫描述分組：向鄰居發(fā)送自己鏈路狀態(tài)數(shù)據(jù)庫中所有鏈路狀態(tài)項的摘要信息。（3）鏈路狀態(tài)請求：向鄰居請求發(fā)送其鏈路狀態(tài)項的詳細信息。（4）鏈路狀態(tài)更新：采用洪泛法進行整個網(wǎng)絡鏈路狀態(tài)的更新.（5）鏈路狀態(tài)確認：對收到的鄰站發(fā)來的鏈路狀態(tài)信息進行確認。后邊四個分組主要是實現(xiàn)兩路狀態(tài)數(shù)據(jù)庫的同步！四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF協(xié)議開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當前采用的路由信息表的建立與更新方法：采用數(shù)據(jù)描述分組與相鄰路由器交換當前路由器已有鏈路狀態(tài)摘要信息。摘要信息描述了當前哪些相鄰路由器的鏈路狀態(tài)信息已經(jīng)寫入數(shù)據(jù)庫。使用鏈路狀態(tài)請求分組，向?qū)Ψ秸埱蟀l(fā)送自己缺少的鏈路狀態(tài)項目的詳細信息。通過反復交換，最終形成全網(wǎng)的同步鏈路數(shù)據(jù)庫。只要有一個路由的鏈路狀態(tài)發(fā)生變化，就要使用鏈路狀態(tài)更新分組，通過可靠洪泛算法進行全網(wǎng)兩路狀態(tài)更新。如下圖四、OSPF協(xié)議1、開放最短路徑優(yōu)先路由協(xié)議OSPFOSPF當前采用的路由信息表的建立與更新方法：更新報文tACK報文RRRRt1t2t3t4基于可靠洪泛法進行更新分組ACL過濾的依據(jù)主要包括源地址、目的地址、上層協(xié)議等。03ACL有兩種：標準訪問控制列表、擴展訪問控制列表。04利用ACL可以對經(jīng)過路由器的數(shù)據(jù)包按照設定的規(guī)則進行過濾，使數(shù)據(jù)包有選擇的通過路由器，起到防火墻的作用。01訪問控制列表(ACL)由一組規(guī)則組成，在規(guī)則中定義允許或拒絕通過路由器的條件。021ACL概述ACL的基本用途是限制訪問網(wǎng)絡的用戶，保護網(wǎng)絡的安全。ACL一般只在以下路由器上配置：內(nèi)部網(wǎng)和外部網(wǎng)的邊界路由器。兩個功能網(wǎng)絡交界的路由器。限制的內(nèi)容通常包括：允許那些用戶訪問網(wǎng)絡。（根據(jù)用戶的IP地址進行限制）允許用戶訪問的類型，如允許http和ftp的訪問，但拒絕Telnet的訪問。（根據(jù)用戶使用的上層協(xié)議進行限制）1訪問控制列表(ACL)由多條判斷語句組成。每條語句給出一個條件和處理方式（通過或拒絕）。2路由器對收到的數(shù)據(jù)包按照判斷語句的書寫次序進行檢查，當遇到相匹配的條件時，就按照指定的處理方式進行處理。3ACL中各語句的書寫次序非常重要，如果一個數(shù)據(jù)包和某判斷語句的條件相匹配時，該數(shù)據(jù)包的匹配過程就結(jié)束了，剩下的條件語句被忽略。ACL的工作過程Router(config)#access-list表號處理方式條件ACL表號：用于區(qū)分各訪問控制列表。一個訪問控制列表(ACL)可由多條語句組成，每條ACL語句的形式為：01其中針對IP數(shù)據(jù)報的ACL可使用的表號為：標準訪問控制列表：1~99。擴展訪問控制列表：100~199。同一個ACL中各語句的表號相同。一臺路由器中可定義多個ACL，每個ACL使用一個表號。022ACL語句例：access-list1permit55access-list1deny55第1句表示允許地址為10.*.*.*的數(shù)據(jù)包通過。第2句表示拒絕地址為20.*.*.*的數(shù)據(jù)包通過。這里的地址指數(shù)據(jù)包的源地址。處理方式：取值有permit（允許）和deny（拒絕）兩種。當數(shù)據(jù)包與該語句的條件相匹配時，用給定的處理方式進行處理。條件：每條ACL語句只能定義一個條件。應用ACL如果只是定義了ACL，它還不會起到任何作用，必須把ACL應用到一個接口上才能起作用。應用ACL：Router(config)#interface接口號Router(config-if)#ipaccess-group表號[in|out]in：表示在數(shù)據(jù)包進入此接口時使用ACL進行過濾。out：表示在數(shù)據(jù)包離開此接口時使用ACL進行過濾。通常，使用出站接口檢查的數(shù)據(jù)包數(shù)量較少，效率要高一些。例：Router(config)#interfacee0Router(config-if)#ipaccess-group1out表示在e0口上使用表號為1的ACL對出站數(shù)據(jù)包進行過濾。0102通配符掩碼決定了地址中的哪些位需要精確匹配，哪些為不需要匹配。通配符掩碼是一個32位數(shù)，采用點分十進制方式書寫。匹配時，“0”表示檢查的位，“1”表示不檢查的位。如：55表示檢查前16位，忽略后16位，所以這個條件表示的地址是192.168.*.*。在ACL語句中，當使用地址作為條件時，它的一般格式為：地址通配符掩碼。通配符掩碼any條件：當條件為所有地址時，如果使用通配符掩碼應寫為：55這時可以用“any”表示這個條件。如：Router(config)#access-list1permit55Router(config)#access-list1permitany上面兩個語句是等價的。host關(guān)鍵字：當條件為單一IP地址時，如果使用通配符掩碼應寫為：IP地址這時可以用“host”關(guān)鍵字定義這個條件。如：Router(config)#access-list1permitRouter(config)#access-list1permithost上面兩個語句是等價的。標準ACL只能使用地址作為條件。標準ACL使用數(shù)據(jù)包的源地址匹配ACL語句中的條件。定義標準ACL時，可使用的表號為1~99。（針對IP數(shù)據(jù)報）3標準訪問控制列表標準ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求只有來自/8、/24、/24的用戶能夠訪問。1R1#showaccess-lists2R1(config)#access-list1permit553R1(config)#access-list1permit554R1(config)#access-list1permit555R1(config)#interfacee06R1(config-if)#ipaccess-group1out配置完成后，可以用命令查看ACL：說明：在每個ACL中都隱含著一個語句：access-listlist-numdenyany它位于ACL的最后，表示拒絕所有。所以任何一個與前面各語句都不匹配的數(shù)據(jù)包都會被拒絕。在ipaccess-group語句中，用in或out表示入站時匹配或出站時匹配，如果沒有指定這個值，默認為out。在每個接口、每個方向上只能應用一個ACL。一個ACL可以應用到多個接口上。標準ACL配置舉例2R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)要求拒絕來自/24的用戶訪問，其它用戶都可以訪問。R1(config)#access-list1deny55R1(config)#access-list1permitanyR1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permitany語句不能省略，如果省略該語句，則所有和語句1不匹配的數(shù)據(jù)包都會被隱含的access-list1denyany語句拒絕。標準ACL配置舉例3R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許來自/24的用戶訪問，但其中和兩臺主機除外。R1(config)#access-list1denyhostR1(config)#access-list1denyhostR1(config)#access-list1permit55R1(config)#interfacee0R1(config-if)#ipaccess-group1out注意：access-list1permit192.168.2055語句不能寫在另兩條語句的前面，如果把它寫在第1句，則和因已經(jīng)滿足了條件，不會再進行后面的匹配。說明：定義ACL時，每條語句都按輸入的次序加入到ACL的末尾，如果想要更改某條語句，或者更改語句的順序，只能先刪除整個ACL，再重新輸入。比如刪除表號為1的ACL：Router(config)#noaccess-list1在實際應用中，我們往往把路由器的配置文件導出到TFTP服務器中，用文本編輯工具修改ACL，然后再把配置文件裝回到路由器中。010302擴展ACL可以使用地址作為條件，也可以用上層協(xié)議作為條件。1擴展ACL既可以測試數(shù)據(jù)包的源地址，也可以測試數(shù)據(jù)包的目的地址。2定義擴展ACL時，可使用的表號為100~199。（針對IP數(shù)據(jù)報）34擴展訪問控制列表擴展ACL的語句：access-list表號處理方式條件表號：取值100~199。處理方式：permit（允許）或deny（拒絕）。條件：協(xié)議源地址目的地址[運算符端口號][established]協(xié)議：用于匹配數(shù)據(jù)包使用的網(wǎng)絡層或傳輸層協(xié)議，如IP、TCP、UDP、ICMP等。源地址、目的地址：使用“地址通配符掩碼”的形式，也可以使用any、host關(guān)鍵字。運算符端口號：用于匹配TCP、UDP數(shù)據(jù)包中的端口號。access-list100permittcp5555eq80表示允許來自192.168.*.*的用戶訪問位于10.*.*.*的Web站點。運算符包括lt(小于)、gt(大于)、eq(等于)、neq(不等于)。端口號用于對應一種應用，如21—FTP、23—Telnet、25—SMTP、53—DNS、80—HTTP等。“運算符端口號”可匹配數(shù)據(jù)包的用途。如：“eq80”可匹配那些訪問Web網(wǎng)站的數(shù)據(jù)包。在擴展ACL語句中，“運算符端口號”可以沒有。例：在每個擴展ACL末尾也有一條默認語句：access-listlist-numdenyipanyany它會拒絕所有與前面語句不匹配的數(shù)據(jù)包。擴展ACL定義后，也需要使用ipaccess-group命令應用在指定接口上才能起作用。如：Router(config)#interfacee0Router(config-if)#ipaccess-group100out擴展ACL配置舉例1R1E0一個局域網(wǎng)連接在路由器R1的E0口，這個局域網(wǎng)只允許Web通信流量和Ftp通信流量，其它都拒絕。R1(config)#access-list100permittcpanyanyeq80R1(config)#access-list100permittcpanyanyeq20R1(config)#access-list100permittcpanyanyeq21R1(config)#interfacee0R1(config-if)#ipaccess-group100out說明：標準FTP協(xié)議使用了兩個端口，21用于建立FTP連接，20用于數(shù)據(jù)傳輸。No.3說明：例1的配置將會極大限制局域網(wǎng)和外網(wǎng)間的應用，它會拒絕除Web和Ftp外的所有應用（包括ICMP、DNS、電子郵件等），也會拒絕那些沒有使用標準端口的Web和Ftp應用。在實際應用中，我們通常只對那些可能有害的訪問作出拒絕限制，或者限制用戶訪問某些有害的站點或服務。No.2No.1擴展ACL配置舉例2R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止外網(wǎng)用戶用Telnet遠程登錄本路由器。S0192.168.*.*/24/24R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100denytcpanyhosteq23R1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100in說明：這里使用了禁止對兩個接口進行Telnet的數(shù)據(jù)包進入S0口的方法阻斷來自外網(wǎng)的Telnet請求。由于對E0口沒有限制，所以它不影響來自內(nèi)網(wǎng)的Telnet請求。擴展ACL配置舉例3R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，1是一個有害的Web網(wǎng)站，禁止內(nèi)網(wǎng)用戶訪問該網(wǎng)站。S0192.168.*.*/24/24R1(config)#access-list100denytcp55host1eq8001R1(config)#access-list100permitipanyany02R1(config)#interfacee003R1(config-if)#ipaccess-group100in04擴展ACL配置舉例4R1E0R1是局域網(wǎng)和外網(wǎng)的邊界路由器，禁止對S0口的ping操作。S0192.168.*.*/24/24PTN光傳輸設備開局與維護重電通信工程學院說明：ping命令使用的是ICMP協(xié)議，但ICMP除了具有網(wǎng)絡探查功能外，還需要用它傳輸各種錯誤信息，所以在路由器上不應該禁止該協(xié)議。如果想要禁止ping，最好使用專用的防火墻。R1(config)#access-list100denyicmpanyhostR1(config)#access-list100permitipanyanyR1(config)#interfaces0R1(config-if)#ipaccess-group100inPTN光傳輸設備開局與維護重電通信工程學院01命名ACL是新版路由器操作系統(tǒng)(11.2以后的版本)增加的一種定義ACL的方法。命名ACL使用一個符號串作為ACL的名字，不再使用表號。命名ACL也有標準ACL和擴展ACL兩種，一個命名ACL只能是其中的一種。02035命名訪問控制列表命名ACL配置方法Router(config)#ipaccess-list{standard|extended}namestandard：定義標準命名ACL。extended：定義擴展命名ACL。name：ACL的名字，可自定義。該命令執(zhí)行后，提示符變?yōu)镽outer(config-std-nacl)#或Router(config-ext-nacl)#。在此提示符下可輸入ACL語句。命名ACL語句格式：處理方式條件。它只比以前的ACL少了前面的“access-list表號”部分，其它都相同。例1配置標準命名ACLR1E0要求拒絕來自/24的數(shù)據(jù)包通過S0口進入路由器，其它都允許。S0R1(config)#ipaccess-liststandardlist1R1(config-std-nacl)#permitanyR1(config)#interfaces0R1(config-std-nacl)#deny55R1(config-std-nacl)#exitR1(config-if)#ipaccess-grouplist1inlist1是訪問控制列表的名字。123456命名ACL在修改上略好于一般的ACL，進入一個ACL的模式后，我們可以使用“no”命令刪除某一個表項。但如果想要調(diào)整各表項的次序，還是需要刪除整個ACL，再重新輸入。0102例2配置擴展命名ACLR1E0S0192.168.*.*/24/24禁止內(nèi)網(wǎng)用戶訪問地址為1的Web網(wǎng)站。R1(config)#ipaccess-listextendedlist2R1(config-ext-nacl)#denytcp55host1eq80R1(config-ext-nacl)#permitanyR1(config-ext-nacl)#exitR1(config)#interfacee0R1(config-if)#ipaccess-grouplist2inACL應用在不同接口、不同方向上會有不同效果。標準ACL不能指定目的地址，一般應放置在離目的地最近的接口上。擴展ACL一般應放置在離被拒絕的流量來源最近的地方。由于一般的通信都需要雙向傳輸信號，所以使用入站檢測和出站檢測在效果上往往一樣，通常使用出站檢測時被檢查的數(shù)據(jù)包數(shù)量要少一些。0103026正確放置訪問控制列表QOS技術(shù)1.QOS的基本概念I(lǐng)PQoS是指IP網(wǎng)絡的一種能力，即在跨越多種底層網(wǎng)絡技術(shù)（FR、ATM、Ethernet、SDH等）的IP網(wǎng)絡上，為特定的業(yè)務提供其所需要的服務。QoS包括多個方面的內(nèi)容，如帶寬、時延、時延抖動等.QoS需要完成以下的工作： 避免并管理IP網(wǎng)絡擁塞 減少IP報文的丟包率 調(diào)控I