網(wǎng)絡(luò)基礎(chǔ)培訓(xùn)

1、網(wǎng)絡(luò)基礎(chǔ)培訓(xùn)2015.08.20目錄目錄1OSI及TCP/IP參考模型2MAC地址與IP地址3VLAN及生成樹協(xié)議4三層路由基礎(chǔ)5ACL及NATOSI與TCP/IP參考模型OSI參考模型TCP/IP參考模型OSI參考模型層次結(jié)構(gòu)應(yīng)用層應(yīng)用層表示層表示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層1234567提供應(yīng)用程序間通信提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會(huì)話建立、維護(hù)和管理會(huì)話建立主機(jī)端到端連接建立主機(jī)端到端連接尋址和路由選擇尋址和路由選擇提供介質(zhì)訪問、鏈路管理等提供介質(zhì)訪問、鏈路管理等比特流傳輸比特流傳輸對(duì)等通信

2、每一層都使用自己的協(xié)議 每一層都利用下層提供的服務(wù)與對(duì)等層通信HostAHostBAPDUPPDUSPDU Segment（段）（段） Packet（包）（包） Frame（幀）（幀） Bit（比特）（比特）應(yīng)用層應(yīng)用層表示層表示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層應(yīng)用層應(yīng)用層表示層表示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層數(shù)據(jù)封裝與解封裝Data+第7層頭+第6層頭Data第6層頭+第5層頭Data第6層頭第5層頭+第4層頭Data第6層頭第5層頭第4層頭+第3層頭Data第6層頭第5層頭第4層頭第3層頭+第2層頭Data第6

3、層頭第5層頭第4層頭第3層頭第2層頭+第1層頭應(yīng)用層應(yīng)用層表示層表示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層Data第2層頭第3層頭第4層頭第5層頭第6層頭第7層頭二進(jìn)制的數(shù)據(jù)流二進(jìn)制的數(shù)據(jù)流第1層頭Data第2層頭第3層頭第4層頭第5層頭第6層頭第7層頭Data第3層頭第4層頭第5層頭第6層頭第7層頭Data第4層頭第5層頭第6層頭第7層頭Data第5層頭第6層頭第7層頭Data第6層頭第7層頭Data第7層頭封裝封裝解封裝解封裝Data第7層頭第7層頭第7層頭第7層頭第7層頭第7層頭應(yīng)用層應(yīng)用層表示層表示層會(huì)話層會(huì)話層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路

4、層物理層物理層1234567應(yīng)用層應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層1234OSI參考模型TCP/IP模型MAC地址與IP地址什么是MAC地址什么是IP地址ARP協(xié)議簡介MAC地址 MAC（Media Access Control，介質(zhì)訪問控制）地址，也叫硬件地址，長度是48比特（6字節(jié)），由16進(jìn)制的數(shù)字組成，分為前24位和后24位： 前24位叫做組織唯一標(biāo)志符（Organizationally Unique Identifier，即OUI），是由IEEE的注冊(cè)管理機(jī)構(gòu)給不同廠家分配的代碼，區(qū)分了不同的廠家。 后24位是由廠家自己分配的，稱為擴(kuò)展標(biāo)識(shí)符。同一個(gè)廠家生產(chǎn)的網(wǎng)卡中

5、MAC地址后24位是不同的。MAC地址表初始化E1/0/1E1/0/2E1/0/3E1/0/4PCAPCBPCCPCDMAC Address TableMAC AddressPort 交換機(jī)剛啟動(dòng)時(shí)，MAC地址表內(nèi)無表項(xiàng)MAC地址表學(xué)習(xí)過程（1）E1/0/1E1/0/2E1/0/3E1/0/4MAC Address TableMAC AddressPortMAC_AE1/0/1 PCA發(fā)出數(shù)據(jù)幀 交換機(jī)把PCA的幀中的源地址MAC_A與接收到此幀的端口E1/0/1關(guān)聯(lián)起來 交換機(jī)把PCA的幀從所有其他端口發(fā)送出去（除了接收到幀的端口E1/0/1）PCAPCBPCCPCDMAC地址表學(xué)習(xí)過程（2

6、）E1/0/1E1/0/2E1/0/3E1/0/4MAC Address TableMAC AddressPortMAC_AE1/0/1MAC_BE1/0/2MAC_CE1/0/3MAC_DE1/0/4 PCB、PCC、PCD發(fā)出數(shù)據(jù)幀 交換機(jī)把接收到的幀中的源地址與相應(yīng)的端口關(guān)聯(lián)起來PCAPCBPCCPCD單播幀的轉(zhuǎn)發(fā)E1/0/1E1/0/2E1/0/3E1/0/4MAC Address TableMAC AddressPortMAC_AE1/0/1MAC_BE1/0/2MAC_CE1/0/3MAC_DE1/0/4 PCA發(fā)出目的到PCD的單播數(shù)據(jù)幀 交換機(jī)根據(jù)幀中的目的地址，從相應(yīng)的端口E

7、1/0/4發(fā)送出去 交換機(jī)不在其他端口上轉(zhuǎn)發(fā)此單播數(shù)據(jù)幀PCAPCBPCCPCD廣播、組播幀的轉(zhuǎn)發(fā)E1/0/1E1/0/2E1/0/3E1/0/4 交換機(jī)會(huì)把廣播、組播和未知單播幀從所有其他端口發(fā)送出去（除了接收到幀的端口）MAC Address TableMAC AddressPortMAC_AE1/0/1MAC_BE1/0/2MAC_CE1/0/3MAC_DE1/0/4PCAPCBPCCPCD二層環(huán)路SWASWBSWC 二層環(huán)路導(dǎo)致設(shè)備MAC表頻繁刷新 二層環(huán)路將導(dǎo)致廣播風(fēng)暴SWDIP地址格式2552552552551111111111111111111111111111111119216

8、810012211000000 10101000 01100100 01111010點(diǎn)分十進(jìn)制二進(jìn)制32bit27 26 25 24 23 22 21 20128 64 32 16 8 4 2 1IP地址舉例IP地址分類（保留）特殊IP地址網(wǎng)絡(luò)部分主機(jī)部分地址類型用 途127any全“0”全“1”Any全“0”Any全“1”網(wǎng)絡(luò)地址代表一個(gè)網(wǎng)段廣播地址特定網(wǎng)段的所有節(jié)點(diǎn)環(huán)回地址環(huán)回測(cè)試廣播地址本網(wǎng)段所有節(jié)點(diǎn)所有網(wǎng)絡(luò)通常用于指定默認(rèn)路由主機(jī)單播IP包發(fā)送上層協(xié)議要求發(fā)送數(shù)據(jù)包目的是否直連解析網(wǎng)關(guān)硬件地址解析目的主機(jī)硬件地址封裝成幀并由相應(yīng)接口發(fā)出YN 若目的地址所處網(wǎng)絡(luò)號(hào)與本機(jī)所處網(wǎng)絡(luò)號(hào)相同，則

9、目的處于直連網(wǎng)段路由器單播IP包轉(zhuǎn)發(fā)目的是否本機(jī)數(shù)據(jù)包入站目的是否直連解析下一跳路由器硬件地址解析目的主機(jī)硬件地址封裝成幀并由相應(yīng)出接口發(fā)出提交本機(jī)上層協(xié)議處理YNYN 若目的地址所處網(wǎng)絡(luò)號(hào)與本機(jī)任一接口的網(wǎng)絡(luò)號(hào)相同，則目的處于相應(yīng)接口直連網(wǎng)段 路由器通過查找路由信息判斷下一跳路由器地址主機(jī)接收IP包 如果IP包的目的地址符合下列情況之一，則主機(jī)接收此包 目的IP地址等于自己的IP地址 目的IP地址是一個(gè)廣播地址 目的IP地址是一個(gè)組播地址，而本機(jī)的某個(gè)服務(wù)屬于此組播組 否則主機(jī)的網(wǎng)絡(luò)層丟棄此IP包網(wǎng)絡(luò)接口層提交接收的數(shù)據(jù)包目的是否本機(jī)丟棄解封裝并提交給相應(yīng)的協(xié)議處理YN廣播風(fēng)暴 路由器轉(zhuǎn)發(fā)廣

10、播將導(dǎo)致全網(wǎng)充斥廣播，可能引發(fā)廣播風(fēng)暴 路由器默認(rèn)不轉(zhuǎn)發(fā)廣播廣播包廣播包DIP=55ARP過程IP：MAC：00-E0-FC-00-00-11IP：MAC：00-E0-FC-00-00-22誰是？（的MAC地址是多少？）ARP請(qǐng)求（廣播）100-E0-FC-00-00-1OP發(fā)送端MAC發(fā)送端IP目的MAC目的IPARP應(yīng)答（單播）200-E0-FC-00-00-2OP發(fā)送端MAC發(fā)送端IP目的MAC目的IP00-E0-FC-00-00-

11、11Ping & ICMP EchoHost A IP：MAC：00-E0-FC-00-00-11Host B IP：MAC：00-E0-FC-00-00-22Host B可達(dá)嗎？Ping ICMP Echo RequestICMP Echo Reply80 x4a5c01:00類型 代碼校驗(yàn)和序號(hào)標(biāo)識(shí)符00 x0200abc數(shù)據(jù)00 x525c01:00類型 代碼校驗(yàn)和序號(hào)標(biāo)識(shí)符00 x0200abc數(shù)據(jù)VLAN與生成樹協(xié)議什么是MAC地址什么是IP地址ARP協(xié)議簡介VLAN的基本作用（Virtual Local Area Network，虛擬

12、局域網(wǎng)）相同VLAN內(nèi)主機(jī)可以任意通信二層交換不同VLAN內(nèi)主機(jī)二層流量完全隔離阻斷廣播包，減小廣播域提供了網(wǎng)絡(luò)安全性相同VLAN跨交換機(jī)通信實(shí)現(xiàn)虛擬工作組減少用戶移動(dòng)帶來的管理工作量VLAN的劃分方法基于端口劃分基于MAC地址劃分基于協(xié)議劃分基于IP子網(wǎng)劃分基于端口的VLAN基于MAC地址的VLAN基于協(xié)議的VLAN基于子網(wǎng)的VLANVLAN(802.1Q)封裝格式VLAN的標(biāo)準(zhǔn)： 802.1Q，IEEE于1996 制定DestSrcDataLen/EtypeFCS662224.DestSrcFCSDataLen/EtypeVLAN實(shí)現(xiàn)虛擬工作組Access和Trunk鏈路Access鏈路連

13、接Access鏈路的交換機(jī)端口稱為Access端口幀在Access鏈路上轉(zhuǎn)發(fā)不帶VLAN Tag交換機(jī)Access端口接收到以太網(wǎng)幀后，按照端口所在VLAN加上VLAN Tag，然后進(jìn)行轉(zhuǎn)發(fā)幀從Access端口發(fā)送出去，幀中的VLAN Tag會(huì)被去掉Trunk鏈路連接Trunk鏈路的交換機(jī)端口稱為Trunk端口幀在Trunk鏈路上轉(zhuǎn)發(fā)帶VLAN Tag，因此允許多個(gè)VLAN的幀在Trunk鏈路上轉(zhuǎn)發(fā)交換機(jī)Trunk端口接收到以太網(wǎng)幀后，需要判斷該Trunk端口是否允許幀中VLAN ID對(duì)應(yīng)的VLAN通過。若允許，則進(jìn)行轉(zhuǎn)發(fā)；否則要直接丟棄該幀。如果在Trunk接口上收到?jīng)]有tag的幀，將會(huì)打上

14、PVID幀從Trunk端口發(fā)送出去，VLAN Tag一般不會(huì)被去掉Hybrid鏈路Hybrid link：允許多個(gè)VLAN的tagged數(shù)據(jù)流和多個(gè)VLAN的untagged數(shù)據(jù)流通過。發(fā)送數(shù)據(jù)時(shí)，VLAN ID在tagged list中時(shí)攜帶tag標(biāo)記，VLAN ID在untagged list中時(shí)刪除tag標(biāo)記。接收數(shù)據(jù)時(shí)，untagged數(shù)據(jù)流打上接收接口的PVID，tagged數(shù)據(jù)流保持VLAN ID不變。Hybrid link 是實(shí)現(xiàn)isolate-user-vlan的關(guān)鍵。生成樹協(xié)議SWASWBSWC STP（Spanning Tree Protocol，生成樹協(xié)議）是用于在局域網(wǎng)

15、中消除數(shù)據(jù)鏈路層物理環(huán)路的協(xié)議。 通過在橋之間交換BPDU（Bridge Protocol Data Unit，橋協(xié)議數(shù)據(jù)單元），來保證設(shè)備完成生成樹的計(jì)算過程 。BPDUBPDUBPDU配置BPDU的生成和傳遞 配置BPDU包含以下重要信息，完成生成樹計(jì)算 根橋ID（RootID） 根路徑開銷（RootPathCost） 指定橋ID（DesignatedBridgeID） 指定端口ID（ DesignatedPortID ） 各臺(tái)設(shè)備的各個(gè)端口在初始時(shí)生成以自己為根橋（Root Bridge）的配置消息，向外發(fā)送自己的配置消息 網(wǎng)絡(luò)收斂后，根橋向外發(fā)送配置BPDU，其他的設(shè)備對(duì)該配置BPDU

16、進(jìn)行轉(zhuǎn)發(fā)根橋的選舉SWASWBSWC 橋ID由橋優(yōu)先級(jí)（BridgePriority）和橋MAC地址（BridgeMacAddress）組成 橋ID小的橋被選舉為根橋BridgeID: 0.0000-0000-0000BridgeID: 16.0000-0000-0001BridgeID: 0.0000-0000-0002端口角色的確定SWASWBSWC 根橋上的所有端口為指定端口（ Designated Port ） 在非根橋上選舉根路徑開銷（ RootPathCost）最小的端口為根端口（Root Port） 每個(gè)物理段選出根路徑開銷最小的橋作為指定橋（ Designated Bridge

17、），連接指定橋的端口為指定端口 不是根端口和指定端口的其余端口被STP置為阻塞狀態(tài)RootDPDPRPDPRPAPCost=10Cost=20Cost=30根路徑開銷SWASWBSWC 根路徑開銷（ RootPathCost）是到達(dá)根的路徑上所有鏈路開銷（Cost）的代數(shù)和 非根橋進(jìn)行根端口選舉時(shí)，根路徑開銷最小的端口為根端口 物理段進(jìn)行指定橋選舉時(shí)，路徑開銷最小的橋?yàn)橹付騌oot1000M100M1000M10M100M10MCost=10Cost=20Cost=30通過橋ID決定端口角色SWASWBSWC 在根路徑開銷相同時(shí)，所連網(wǎng)段指定橋ID最小的端口為根端口 在根路徑開銷相同時(shí)，橋I

18、D最小的橋被選舉為物理段上的指定橋，連接指定橋的端口為指定端口RootDPDPRPDPRPAPCost=10Cost=10RPCost=10SWDDPCost=10BridgeID: 0.0000-0000-0002BridgeID: 0.0000-0000-0001DPAP通過端口ID決定端口角色SWASWB 在根路徑開銷、指定橋ID都相同的情況下，所連指定端口ID小的端口為根端口RootG0/1G0/2APCost=10Cost=10RPBridgeID: 0.0000-0000-0001端口狀態(tài)端口角色端口角色端口狀態(tài)端口狀態(tài)端口行為端口行為未啟用未啟用STP功能功能的端口的端口Disa

19、bled不收發(fā)不收發(fā)BPDU報(bào)文，接收或轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，接收或轉(zhuǎn)發(fā)數(shù)據(jù)非指定端口或根非指定端口或根端口端口Blocking接收但不發(fā)送接收但不發(fā)送BPDU，不接收或轉(zhuǎn)發(fā)，不接收或轉(zhuǎn)發(fā)數(shù)據(jù)數(shù)據(jù)-Listening接收并發(fā)送接收并發(fā)送BPDU，不接收或轉(zhuǎn)發(fā)數(shù)，不接收或轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)-Learning接收并發(fā)送接收并發(fā)送BPDU，不接收或轉(zhuǎn)發(fā)數(shù)，不接收或轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)指定端口或根端指定端口或根端口口Forwarding接收并發(fā)送接收并發(fā)送BPDU，接收并轉(zhuǎn)發(fā)數(shù)據(jù)，接收并轉(zhuǎn)發(fā)數(shù)據(jù)端口狀態(tài)遷移ForwardingLearningListeningBlockingForwarding Delay時(shí)間Forwardi

20、ng Delay時(shí)間 端口被選為指定端口或根端口后，需要從Blocking狀態(tài)經(jīng)Listening和Learning才能到Forwarding狀態(tài) 默認(rèn)的Forwarding Delay時(shí)間是15秒生成樹的不足l 端口從阻塞狀態(tài)進(jìn)入轉(zhuǎn)發(fā)狀態(tài)必須經(jīng)歷兩倍的端口從阻塞狀態(tài)進(jìn)入轉(zhuǎn)發(fā)狀態(tài)必須經(jīng)歷兩倍的Forwarding Delay時(shí)間時(shí)間l 如果網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)變化頻繁，網(wǎng)絡(luò)會(huì)頻繁地失去連通性如果網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)變化頻繁，網(wǎng)絡(luò)會(huì)頻繁地失去連通性SWASWBSWCDPDPRPDPRPServer每次拓?fù)渥兓叶贾辽儆?0秒的時(shí)間無法訪問服務(wù)器！RSTP RSTP（Rapid Spanning Tre

21、e Protocol，快速生成樹協(xié)議）是STP協(xié)議的優(yōu)化版 RSTP具備STP的所有功能 RSTP可以實(shí)現(xiàn)快速收斂 在某些情況下，端口進(jìn)入轉(zhuǎn)發(fā)狀態(tài)的延時(shí)大大縮短，從而縮短了網(wǎng)絡(luò)最終達(dá)到拓?fù)浞€(wěn)定所需要的時(shí)間。 RSTP的改進(jìn)STP行為行為RSTP行為行為端口被選為根端口被選為根端口端口默認(rèn)情況下，默認(rèn)情況下，2倍的倍的Forwarding Delay的時(shí)間延遲。的時(shí)間延遲。存在阻塞的備份根端口情況下，僅有數(shù)毫秒存在阻塞的備份根端口情況下，僅有數(shù)毫秒延遲。延遲。端口被選為指端口被選為指定端口定端口默認(rèn)情況下，默認(rèn)情況下，2倍的倍的Forwarding Delay的時(shí)間延遲。的時(shí)間延遲。在在指定端口

22、是指定端口是非非邊緣端口邊緣端口的情況下的情況下，延遲取延遲取決因素較多。決因素較多。在在指定端口是邊緣端口指定端口是邊緣端口的情況下的情況下，指定端口，指定端口可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)可以直接進(jìn)入轉(zhuǎn)發(fā)狀態(tài)，沒有延遲。，沒有延遲。PCBPCASTP、RSTP的問題 Trunk鏈路上實(shí)際上運(yùn)行著多個(gè)VLAN 所有VLAN共用一棵生成樹 無法實(shí)現(xiàn)不同VLAN在多條Trunk鏈路上的負(fù)載分擔(dān)所有所有VLAN均均在此阻塞在此阻塞SWASWBSWCServerVLAN 10VLAN 20MSTP MSTP（Multiple Spanning Tree Protocol，多生成樹協(xié)議） 將多個(gè)VLAN捆綁到一

23、個(gè)實(shí)例，每個(gè)實(shí)例生成獨(dú)立的生成樹 在多條Trunk鏈路上實(shí)現(xiàn)VLAN級(jí)負(fù)載分擔(dān)SWASWBSWCServer實(shí)例實(shí)例A: VLAN110實(shí)例實(shí)例B: VLAN1120PCBPCAVLAN 10VLAN 20特性列表特性列表STPRSTPMSTP解決環(huán)路故障并實(shí)解決環(huán)路故障并實(shí)現(xiàn)冗余備份現(xiàn)冗余備份YYY快速收斂快速收斂NYY形成多棵生成樹實(shí)形成多棵生成樹實(shí)現(xiàn)負(fù)載分擔(dān)現(xiàn)負(fù)載分擔(dān)NNY三種生成樹協(xié)議特性的比較 MSTP具有RSTP的快速收斂，同時(shí)又具有負(fù)載分擔(dān)機(jī)制 MSTP兼容STP和RSTP 三種生成樹協(xié)議的端口狀態(tài)對(duì)比ForwardingLearningListeningBlockingForw

24、arding Delay時(shí)間Forwarding Delay時(shí)間ForwardingLearningDiscardingForwarding Delay時(shí)間Forwarding Delay時(shí)間STPRSTP/MSTP三層路由基礎(chǔ)什么是三層轉(zhuǎn)發(fā)什么是路由靜態(tài)路由與動(dòng)態(tài)路由路由及路由基本概念路由、路由開銷及路由優(yōu)先級(jí) 等價(jià)路由 路由環(huán)路路由聚合 路由表什么是路由 路由信息是指導(dǎo)報(bào)文發(fā)送的路徑信息 路由表：路標(biāo)牌 路由協(xié)議負(fù)責(zé)收集信息，構(gòu)建“地圖” 路由的過程是報(bào)文中繼轉(zhuǎn)發(fā)的過程 Hop by Hop：路由器不知道完整轉(zhuǎn)發(fā)路徑，只知道到達(dá)目的地的最近的下一跳如何走PC2：/24

25、PC1：/16 路由開銷：Cost 路由的開銷：Cost，Metric 標(biāo)識(shí)出了到達(dá)路由所指的目的地的代價(jià)，以選擇最佳路徑 IP包的“旅途”費(fèi)用 影響因素 線路延遲、線路帶寬、線路占有率、線路可信度、跳數(shù)、最大傳輸單元 與協(xié)議相關(guān)，不同的動(dòng)態(tài)路由協(xié)議會(huì)選擇以上的一種或幾種因素來計(jì)算花費(fèi)值 可比性 該花費(fèi)值只在同一種路由協(xié)議對(duì)同一目的地有比較意義 不同的路由協(xié)議之間的路由花費(fèi)值沒有可比性 不存在換算關(guān)系 路由開銷：簡化例子 簡化的例子 各“段”開銷已標(biāo)明，假設(shè)總開銷的計(jì)算公式是簡單“加” PC1到PC2有兩條路：Path1 ABCD，總開銷是11；Path2 AEFCD總開

26、銷是14 優(yōu)選較小的總開銷Path1傳送路徑：PC1ABCDPC2PC2：/24PC1：/1625263111ABDFCE 路由優(yōu)先級(jí) 路由優(yōu)先級(jí)：Preference 標(biāo)識(shí)不同路由協(xié)議的特權(quán)數(shù)值 影響因素 廠商實(shí)現(xiàn)對(duì)各個(gè)路由協(xié)議優(yōu)劣的理解 無標(biāo)準(zhǔn)定義 可比性 在運(yùn)行不同的路由協(xié)議學(xué)習(xí)到相同的路由的時(shí)候比較用，在此前路由協(xié)議已經(jīng)通過路由開銷選拔出自己的“最佳路由” 一般數(shù)值小的反而優(yōu)先/ 8 10 s0RIP/ 8 100 s1OSPF/ 8 OSPF 10 s0路由表路由表路由及路由基本概念路由、路由

27、開銷及路由優(yōu)先級(jí) 等價(jià)路由 路由環(huán)路路由聚合 路由表等價(jià)路由：ECMP 等價(jià)路由負(fù)載分擔(dān)：ECMP Equal Cost Multi-Path 到一個(gè)目的地有幾條相同開銷的路徑，IP包在這幾個(gè)鏈路上輪流發(fā)送 兩種基本方式：逐包：只根據(jù)目的地址來輪流發(fā)送逐流：根據(jù)不同的數(shù)據(jù)“流”來分擔(dān) 優(yōu)點(diǎn)：提高鏈路利用率 缺點(diǎn)：逐包轉(zhuǎn)發(fā)可能導(dǎo)致報(bào)文亂序ACBD51085A到D兩條等價(jià)路徑1.ABCD，總開銷5+5+8=182.ACD，總開銷10+8=18路由及路由基本概念路由、路由開銷及路由優(yōu)先級(jí) 等價(jià)路由 路由環(huán)路路由聚合 路由表 路由環(huán)路：概念 路由環(huán)路 :Routing loop 報(bào)文在兩個(gè)或幾個(gè)路由器

28、之間循環(huán)路由，直到TTL減為0而丟棄 不能正確到目的地，有時(shí)引起環(huán)路發(fā)生的鏈路擁塞 幾乎是路由中最壞的現(xiàn)象AC網(wǎng)絡(luò)網(wǎng)絡(luò)N到到N的報(bào)文的報(bào)文 TTL-2TTL-3BTTL-1 路由環(huán)路：原因及解決方法 產(chǎn)生原因 路由收斂過程中產(chǎn)生的臨時(shí)環(huán)路 路由算法的缺陷 在不同的路由域相互引入路由時(shí)丟失了可以防止環(huán)路的信息 錯(cuò)誤的網(wǎng)絡(luò)配置及經(jīng)驗(yàn)問題 解決方法 選用高級(jí)算法的路由協(xié)議 路由引入的時(shí)候注意過濾掉自己發(fā)出的路由路由及路由基本概念路由、路由開銷及路由優(yōu)先級(jí) 等價(jià)路由 路由環(huán)路路由聚合 路由表 路由聚合 路由聚合 : Route Summary 為了減小路由表的規(guī)模，對(duì)于某些屬于一個(gè)更大網(wǎng)段的子網(wǎng)所對(duì)應(yīng)

29、的路由，不發(fā)布那些具體的子網(wǎng)路由，代之發(fā)布那個(gè)更大網(wǎng)段的路由 自動(dòng)聚合和手動(dòng)聚合 很多路由協(xié)議支持自動(dòng)聚合，即按自然掩碼來聚合路由 一般高級(jí)路由協(xié)議支持手動(dòng)聚合，可以根據(jù)需要配置任意的聚合粒度AA只通告聚合路由只通告聚合路由/16B路由表路由表/24/24/24路由表路由表/16 路由聚合 路由聚合的好處 減小路由表的規(guī)模，減少CPU及內(nèi)存資源消耗 提高路由查找速度，加快IP報(bào)文轉(zhuǎn)發(fā) 減少網(wǎng)絡(luò)震蕩引起路由變化的影響范圍

30、常用但需要慎用路由聚合 可能產(chǎn)生路由黑洞 可能產(chǎn)生路由環(huán)路 路由聚合中避免路由環(huán)路 Null0路由 Null0相當(dāng)于一個(gè)垃圾桶，匹配的報(bào)文被丟棄 如何防止路由環(huán)路 如右圖：A一般都有一條缺省路由指向Internet出口 如果Hacker從Internet發(fā)送一個(gè)目的地址為的報(bào)文轉(zhuǎn)發(fā)到A，會(huì)發(fā)生什么？ 解決方法：聚合時(shí)手工或自動(dòng)在本地添加一條指向Null0的聚合路由s3s2s1s0A通告聚合路由/16ISP路由器路由器AA的的路由表路由表/24 s1198.168.

31、2.0/24 s2/24 s3 /0 s0/16 null0 路由及路由基本概念路由、路由開銷及路由優(yōu)先級(jí) 等價(jià)路由 路由環(huán)路路由聚合 路由表路由查找：最長匹配原則l 最長匹配：longest match基于目的IP地址的轉(zhuǎn)發(fā)IP報(bào)文到達(dá)路由器后如何路由交換的匹配基本原則查找路由表時(shí)，報(bào)文目的地址和路由表中路由條目的掩碼按位“與”操作，如果結(jié)果與該條目的網(wǎng)段相同，則匹配選擇所有匹配項(xiàng)中掩碼最長的路由表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)路由表中路由的來源l鏈路層協(xié)議發(fā)現(xiàn)的路由鏈路層協(xié)議發(fā)現(xiàn)的路由開銷小，配置簡單，無需人工維護(hù)。只能發(fā)現(xiàn)本接口所屬網(wǎng)段的路由。l手工

32、配置靜態(tài)路由手工配置靜態(tài)路由無開銷，配置簡單，需人工維護(hù)，適合簡單拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。l動(dòng)態(tài)路由協(xié)議發(fā)現(xiàn)的路由動(dòng)態(tài)路由協(xié)議發(fā)現(xiàn)的路由開銷大，配置復(fù)雜，無需人工維護(hù)，適合復(fù)雜拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。OSPF協(xié)議的一些基本概念I(lǐng)P Header（Protocol # 89）OSPF PacketlRouter ID一個(gè)一個(gè)32bit的無符號(hào)整數(shù)，是一臺(tái)路由器的唯一標(biāo)識(shí)，的無符號(hào)整數(shù)，是一臺(tái)路由器的唯一標(biāo)識(shí)，在整個(gè)自治系統(tǒng)內(nèi)唯一。在整個(gè)自治系統(tǒng)內(nèi)唯一。l協(xié)議號(hào)協(xié)議號(hào)OSPF的協(xié)議號(hào)是的協(xié)議號(hào)是89。OSPF通過鏈路狀態(tài)描述網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)EthernetFrame Relay/X.25PPPRTARTBRTDRTC

33、RTERTFEthernet或者Frame Relay/X.25OSPF協(xié)議計(jì)算路由過程LSDB RTA的LSARTB的LSARTC的LSARTD的LSA（二）每臺(tái)路由器的鏈（二）每臺(tái)路由器的鏈路狀態(tài)數(shù)據(jù)庫路狀態(tài)數(shù)據(jù)庫(一）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)一）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)CABD123CABD123CABD123CABD123（四）每臺(tái)路由器分別以自己為根節(jié)點(diǎn)計(jì)算最小生成樹（四）每臺(tái)路由器分別以自己為根節(jié)點(diǎn)計(jì)算最小生成樹（三）由鏈路狀態(tài)數(shù)據(jù)庫得（三）由鏈路狀態(tài)數(shù)據(jù)庫得到的帶權(quán)有向圖到的帶權(quán)有向圖CABD1235RTCRTD3215RTBRTAOSPF劃分區(qū)域Area2Area1Area0骨干區(qū)域與虛連接Are

34、a 19Area 12Area 0RTBRTAVirtual LinkVRRP VRRP（Virtual Router Redundancy Protocol，虛擬路由器冗余協(xié)議）將可以承擔(dān)網(wǎng)關(guān)功能的一組路由器加入到備份組中，形成一臺(tái)虛擬路由器，由VRRP的選舉機(jī)制決定哪臺(tái)路由器承擔(dān)轉(zhuǎn)發(fā)任務(wù)，局域網(wǎng)內(nèi)的主機(jī)只需將虛擬路由器配置為缺省網(wǎng)關(guān)。 VRRP是一種容錯(cuò)協(xié)議，在提高可靠性的同時(shí)，簡化了主機(jī)的配置。在具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，借助VRRP能在某臺(tái)路由器出現(xiàn)故障時(shí)仍然提供高可靠的缺省鏈路，有效避免單一鏈路發(fā)生故障后網(wǎng)絡(luò)中斷的問題，而無需修改動(dòng)態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息。

35、VRRP工作原理54VRRP工作原理54VRRP工作原理MasterSlave545352VRRP工作原理Master545352ACL與NAT什么是ACLACL的分類NAT的工作原理ACL ACL的定義ACL（Access Control List，訪問控制列表）是一或多條規(guī)則

36、的集合，用于識(shí)別報(bào)文流。這里的規(guī)則是指描述報(bào)文匹配條件的判斷語句，匹配條件可以是報(bào)文的源地址、目的地址、端口號(hào)等。網(wǎng)絡(luò)設(shè)備依照這些規(guī)則識(shí)別出特定的報(bào)文，并根據(jù)預(yù)先設(shè)定的策略對(duì)其進(jìn)行處理。ACL的分類ACL類型類型規(guī)則制定依據(jù)規(guī)則制定依據(jù)基本ACL報(bào)文的源IP地址高級(jí)ACL報(bào)文的源IP地址、目的IP地址、報(bào)文優(yōu)先級(jí)、IP承載的協(xié)議類型及特性等三、四層信息二層ACL報(bào)文的源MAC地址、目的MAC地址、802.1p優(yōu)先級(jí)、鏈路層協(xié)議類型等二層信息ACL的匹配順序 配置順序：按照規(guī)則編號(hào)由小到大進(jìn)行匹配。 自動(dòng)排序：按照“深度優(yōu)先”原則由深到淺進(jìn)行匹配，各類型ACL的“深度優(yōu)先”。包過濾技術(shù) 包過濾實(shí)現(xiàn)了對(duì)IP數(shù)據(jù)包的過濾。對(duì)設(shè)備需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取其包頭信息（包括IP層所承載的上層協(xié)議的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等），然后與設(shè)定的ACL規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行相應(yīng)的處理。包過濾技術(shù)的缺點(diǎn) 包過濾防火墻屬于靜態(tài)防火墻，目前存在的問題如下： 對(duì)于多通道的應(yīng)用層協(xié)議（如FTP、H.323等）