第6章 交換與路由技術(shù)-教材課件

1、目錄目錄: :6 6.1 .1 路由器和多層交換機概述路由器和多層交換機概述6 6.2.2 虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN） 6 6.3.3 局域網(wǎng)中的冗余鏈路局域網(wǎng)中的冗余鏈路6 6.4.4 端口聚合端口聚合 6 6.5.5 路由技術(shù)路由技術(shù)6 6. .6 6 路由信息安全路由信息安全6 6. .7 7 網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）6 6. .8 8 網(wǎng)絡(luò)規(guī)劃與設(shè)計網(wǎng)絡(luò)規(guī)劃與設(shè)計第第6 6章章 交換與路由技術(shù)交換與路由技術(shù)重點重點: :l路由器與交換機的配置方法路由器與交換機的配置方法l虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN）l端口聚合端口聚合l靜態(tài)路由與靜態(tài)路由與

2、RIPRIP協(xié)議路由協(xié)議路由l網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）難點難點: : uOSPFOSPF動態(tài)路由協(xié)議動態(tài)路由協(xié)議u冗余鏈路（冗余鏈路（STPSTP協(xié)議）協(xié)議）u訪問控制列表（訪問控制列表（ACLACL）6.1 6.1 路由器和多層交換機概述路由器和多層交換機概述 路由器（Router）是一種典型的網(wǎng)絡(luò)層設(shè)備，負責(zé)在網(wǎng)絡(luò)層間傳輸數(shù)據(jù)分組，并確定網(wǎng)絡(luò)上數(shù)據(jù)傳送的最佳路徑，完成網(wǎng)絡(luò)層間中繼的任務(wù)。一般來說，異種網(wǎng)絡(luò)互聯(lián)與多個子網(wǎng)互聯(lián)都需用路由器來完成。 交換機（Switch）是根據(jù)OSI層次通?？煞譃槎咏粨Q機和三層交換機。通常所說的交換機就是指二層交換機（又叫LAN交換機），屬數(shù)

3、據(jù)鏈路層設(shè)備，是二層交換技術(shù)在局域網(wǎng)中的典型應(yīng)用，而三層交換機為多層交換機，屬網(wǎng)絡(luò)層設(shè)備，是三層交換技術(shù)在網(wǎng)絡(luò)中的典型應(yīng)用。簡單地說，三層交換技術(shù)就是：二層交換技術(shù)三層轉(zhuǎn)發(fā)技術(shù)。 6.1.1 6.1.1 網(wǎng)絡(luò)設(shè)備的配置方法網(wǎng)絡(luò)設(shè)備的配置方法 1、帶外管理利用控制臺（console）端口配置 對于新購進的網(wǎng)絡(luò)設(shè)備（本章多指多層交換機和路由器）一般都有出廠默認設(shè)置，如果用戶想知道其網(wǎng)絡(luò)接口是否啟用和參數(shù)如何，通常用一根配置線（反轉(zhuǎn)線）將計算機的串行口（COM）和網(wǎng)絡(luò)設(shè)備的控制臺（Console）端口相連，通過使用計算機中Windows自帶的“超級終端”對網(wǎng)絡(luò)設(shè)備進行后續(xù)配置和管理。 2帶內(nèi)管理利用

4、telnet命令遠程登錄配置 用一根直連網(wǎng)線將PC機的網(wǎng)卡接口（RJ-45）和網(wǎng)絡(luò)設(shè)備的LAN端口相連，在PC機中打開命令提示符窗口，在命令行中輸入命令“telnet 網(wǎng)絡(luò)設(shè)備管理IP地址”，輸入遠程登錄密碼，就可以進入網(wǎng)絡(luò)設(shè)備的各命令配置模式。6.1.2 6.1.2 網(wǎng)絡(luò)設(shè)備的命令操作網(wǎng)絡(luò)設(shè)備的命令操作 1、命令模式 登錄網(wǎng)絡(luò)設(shè)備的命令提示符格式：提示符名 模式 以下是常見的幾種命令模式：n用戶模式Router 可用于查看系統(tǒng)基本信息和進行基本測試n特權(quán)模式Router# 查看、保存系統(tǒng)信息，n全局配置模式Router(config)# 配置設(shè)備的全局參數(shù)n接口配置模式Router(conf

5、ig-if)# 配置設(shè)備的各種接口n線路配置模式Router(config-line)# 配置控制臺、遠程登錄等線路n路由配置模式Router(config-router)# 配置路由協(xié)議nVLAN配置模式 Switch(config-vlan)# 配置VLAN參數(shù) 2.命令模式的切換 網(wǎng)絡(luò)設(shè)備的命令模式大體可分為四步：用戶模式特權(quán)模式全局配置模式其它配置模式。要進入某模式時，需要逐步進入。配置模式命令舉例說明：n登錄后就進入用戶模式 Router_n在用戶模式中輸入enable命令進入特權(quán)模式 Routerenable Router#n在特權(quán)模式中輸入configure terminal命令

6、進入全局配置模式 Router#configure terminal Router(config)#n在全局配置模式中輸入interface命令進入接口配置模式 Router(config)#interface f0/1 Router(config-if)#n在全局配置模式中輸入line命令，后可帶不同參數(shù)進入線路配置模式 Router(config)#line console 0 Router(config-line)#n在全局配置模式中輸入router命令，后可帶不同參數(shù)進入路由配置模式 Router(config)#router rip Router(config-router)#n在全

7、局配置模式中輸入vlan命令，后可帶不同參數(shù)進入VLAN配置模式 Switch(config)#vlan 10 Switch(config-vlan)#n在任一配置模式中，用exit命令可退回到上一模式 Router(config-if)#exit Router(config)#n在任一配置模式中，輸入end命令或按快捷鍵Ctrl+Z，可直接退回到特 權(quán)模式 Router(config-if)#end Router#n從特權(quán)模式退回到用戶模式 Router#disable Router 3.命令行的編輯技巧 （1）命令不區(qū)分大小寫。 （2）可以使用簡寫。 命令的每個單詞只需要輸入前幾個字母，能

8、與其它命令相區(qū)分開，即可。 （3）用 Tab 鍵可補全簡化的命令。 （4）可以調(diào)出歷史命令來簡化命令的輸入。 可用“”鍵（Ctrl+P）或“”鍵(Ctrl+N)調(diào)出歷史命令，按回車就即可執(zhí)行此命令。 （5）編輯快捷鍵： Ctrl+A光標移到行首，Ctrl+E光標移到行尾，Ctrl+F下移一個字符。 （6）用“?”可幫助輸入命令和參數(shù)。 在提示符下輸入“?”可查看該提示符下的所有命令，在命令后加“?”，可查看該命令后的所有參數(shù)，在該參數(shù)后再加“?”，可查看該參數(shù)后跟的所有參數(shù)，以此類推，直至遇到提示“”，說明命令結(jié)束。 4. 常見命令行錯誤提示 （1）% Ambiguous command。 用

9、戶沒有輸入足夠的字符，設(shè)備無法識別唯一的命令。 （2）% Invomplete command。 命令缺少必需的關(guān)鍵字或參數(shù)。 （3）% Invalid input detected at marker。 符號 指明了輸入錯誤命令單詞的位置。 5no和 default 選項 （1）no 選項的用法是在命令前加 no前綴，可用來禁止某個功能，或者刪除某項配置。如：no shutdown ，no ip address （2）default 選項的用法是在命令前加default前綴，用來將設(shè)置恢復(fù)為缺省值。如：default hostname6.1.3 6.1.3 網(wǎng)絡(luò)設(shè)備的基本配置網(wǎng)絡(luò)設(shè)備的基本配

10、置 1.配置主機名 默認情況下，交換機的主機名通常為“Switch”，路由器的的主機名通常為“Router”。 在全局模式下通過“hostname”命令來實現(xiàn)，其配置命令為：nRouter(config)#hostname R1nR1(config)# 2.口令設(shè)置 （1）控制臺口令： Router(config)#line console 0 Router(config-line)#password abc123 Router(config-line)#login （2）遠程登錄口令： Router(config)#line vty 0 4 Router(config-line)#passw

11、ord abc123 Router(config-line)#login （3）特權(quán)口令： Router(config)#enable password abc123 Router(config)#enable secret abc123 兩者的區(qū)別:enable secret定義的口令優(yōu)先級比enable password定義的口令大。 3.文件的查看、保存與刪除 （1）查看當前運行配置 Router#show running-config （2）查看啟動配置 Router#show startup-config （3）保存當前配置 Router#copy running-config st

12、artup-config 或Router#write （4）刪除配置 Router#delete flash:config.text 4.端口配置 （1）端口的選擇n網(wǎng)絡(luò)設(shè)備的端口分為Ethernet（10Mbps）、FastEthernet（10/100Mbps）、Gigabit Ethernet（10/100/1000Mbps）、Serial幾種類型。n若一次指定多個范圍段的物理端口，可以使用“range”關(guān)鍵字。每個端口范圍段之間用逗號（,）分開，范圍段內(nèi)的連續(xù)接口用（）連接起止編號。 例如：若選擇交換機1、3、5、1115快速以太網(wǎng)端口，則配置命令為：Switch(config)#in

13、terface range fastethernet 0/1,0/3,0/11-15 (2)配置端口的IP地址和子網(wǎng)掩碼 例如：配置路由器端口serial 0/1的IP地址為/24，則配置命令為： Router(config)#interface serial 0/1 Router(config-if)#ip address （3）禁用/啟用端口 Switch(config-if)#shutdown Router(config-if)#no shutdown （4）查看端口信息 在特權(quán)模式下，通?？梢允褂谩皊how”命令

14、查看網(wǎng)絡(luò)設(shè)備端口的具體信息。 例如：查看路由器端口serial 0/1的信息，則配置命令為： Router(config)#show interface serial 0/1 6.2 6.2 虛擬局域網(wǎng)（虛擬局域網(wǎng)（VLANVLAN） 6.2.1 VLAN 6.2.1 VLAN概述概述 VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是一種將局域網(wǎng)物理設(shè)備從邏輯上劃分為多個網(wǎng)段，每個網(wǎng)段對應(yīng)著一個VLAN,也就是原來單個廣播域虛擬分割成多個廣播域，每個廣播域就是一個VLAN，若沒有路由的話，一個VLAN內(nèi)部的單播幀、廣播幀可以在一個VLAN內(nèi)轉(zhuǎn)發(fā)、廣播和擴散，而不會

15、直接進入到其他的VLAN中。 從實現(xiàn)的機制或策略看，VLAN分為靜態(tài)VLAN和動態(tài)VLAN兩種。靜態(tài)VLAN主要是根據(jù)交換機的端口來劃分的，動態(tài)VLAN的劃分方法有很多種，常用的主要是根據(jù)MAC地址劃分VLAN和根據(jù)網(wǎng)絡(luò)層協(xié)議劃分VLAN。 6.2.2 6.2.2 基于端口的基于端口的VLANVLAN劃分方法劃分方法 (1)創(chuàng)建VLAN 配置命令： Switch(config)#vlan 編號 Switch(config-vlan)#name 名稱 (2)向VLAN中添加網(wǎng)絡(luò)接口 配置命令： Switch(config)#interface 端口號 Switch(config)#interfa

16、ce range 端口號范圍段 Switch(config-if-range)#switchport access vlan 編號 (3)刪除VLAN 配置命令： Switch(config)#no vlan 編號 (4)查看VLAN 配置命令： Switch#show vlan 6.2.3 6.2.3 交換機接口的類型交換機接口的類型 交換機的接口類型一般可分為兩大類：二層接口和三層接口，具體如表所示。 6.2.4 6.2.4 跨交換機跨交換機VLAN TrunkVLAN Trunk的配置的配置 VLAN Trunk (虛擬局域網(wǎng)中繼技術(shù))的作用是讓連接在不同交換機上的相同VLAN中的主機間

17、互通。在跨交換機相同VLAN中的主機相互通信，則交換機與交換機之間的連接接口一般配置為Trunk模式（即干道模式）。干道就是指兩臺交換機端口之間的一條點對點連接鏈路，可以承載多個VLAN信息，即Trunk端口上可以傳送來自不同VLAN中發(fā)出的數(shù)據(jù)幀，該端口屬于多個VLAN。配置實例：如圖所示，某公司有兩層樓，其中一樓的交換機Switch1的FastEthernet 0/24和二樓的交換機Switch2的FastEthernet 0/24級聯(lián)，在Switch1 和Switch2中分別劃分了VLAN2。為了讓一樓和二樓相同的VLAN的主機可以互訪，需分別配置這兩個級聯(lián)口為Trunk端口。 提示：

18、Switch1(config)#interface 0/24 /選擇交換機端口 Switch1(config-if)#switchport mode trunk /配置交換機端口模式設(shè)置為“Trunk” 同理，Switch2的Trunk端口配置步驟與Switch1一樣。說明： 兩交換機的端口FastEthernet 0/24未配置前默認工作模式都為“access”，都屬于VLAN1，且只能都傳輸默認VLAN1中的數(shù)據(jù)，即兩樓層相同VLAN1中的主機是可以互訪的，也就是PC1、PC2、PC3、PC4同處于一個廣播域，是可以互訪的。然而，PC11、PC12和PC13、PC14是不可以互訪的，因為這

19、幾臺PC機連接的端口都為默認工作模式都為“access”， 且都屬于VLAN2，而只有配置了這兩個級聯(lián)口工作模式都為“trunk”， 才能在此鏈路上傳輸VLAN2中的數(shù)據(jù)，即兩樓層相同VLAN2中的主機才能互訪，也就是PC11、PC12、PC13、PC14同處于一個廣播域，才可以互訪了。因此，在默認情況下，交換機的Trunk鏈路是允許所有VLAN使用的。 6.2.5 6.2.5 不同不同VLAN VLAN 間的通信間的通信 交換機虛擬接口（Switch Virtual Interface，SVI）代表一個由交換端口構(gòu)成的VLAN（其實就是VLAN接口），也就是一個SVI接口對應(yīng)一個VLAN。要

20、實現(xiàn)不同VLAN之間的通信，就需要借助三層交換機不同的SVI接口IP地址路由通信功能。那么，首先需要為相應(yīng)的VLAN配置相應(yīng)的SVI接口，其實SVI就是指通常所說的VLAN接口，只不過它是虛擬的，用于連接整個VLAN，所以通常也把這種接口稱為邏輯三層接口。 (1)SVI接口的創(chuàng)建 配置命令： Switch(config)#interface vlan 編號 Switch(config-if)#ip address IP地址 子網(wǎng)掩碼 Switch(config-if)#no shutdown (2)啟用三層IP路由功能 配置命令： Switch(config)#ip routing (3)查看

21、三層交換機的路由 配置命令： Switch#show ip route配置舉例：如圖所示，在交換機劃分vlan 10和vlan 20，其中vlan 10的SVI接口IP地址為/24，包含F(xiàn)astEthernet0/1和FastEthernet0/2兩個接口；vlan 20的SVI接口IP地址為/24，包含F(xiàn)astEthernet0/11和FastEthernet0/12兩個接口?，F(xiàn)在利用交換機的3層功能使VLAN 10和VLAN 20中的主機能夠互訪。提示： Switch(config)#interface vlan 10 /進入vlan10的SV

22、I接口配置模式 Switch(config-if)#ip address /配置vlan10的SVI接口IP地址和子網(wǎng)掩碼 Switch(config)#interface vlan 20 /進入vlan20的SVI接口配置模式 Switch(config-if)#ip address /配置vlan20的SVI接口IP地址和子網(wǎng)掩碼 Switch(config)#ip routing /啟用三層路由功能 Switch#show ip route /查看路由表6.3 6.3 局域網(wǎng)中的冗

23、余鏈路局域網(wǎng)中的冗余鏈路 6.3.1 6.3.1 生成樹協(xié)議原理生成樹協(xié)議原理 生成樹協(xié)議STP（Spanning-Tree Protocol）由IEEE 802.1d標準定義的，工作方式如同生成一棵樹，即建立無環(huán)路連接。其作用是為了解決交換機冗余環(huán)路產(chǎn)生“廣播風(fēng)暴”等新問題，而需要在交換機上啟動生成樹協(xié)議來避免此類現(xiàn)象的發(fā)生。生成樹協(xié)議STP通過是SPA（生成樹算法）使冗余端口置于“阻塞狀態(tài)”，讓網(wǎng)絡(luò)中的計算機在通信時只有一條鏈路生效，也就是生成一個無環(huán)路的網(wǎng)絡(luò)，而且當主要鏈路出現(xiàn)故障時，該協(xié)議又會重新計算出網(wǎng)絡(luò)的最優(yōu)鏈路，將處于“阻塞狀態(tài)”的端口重新打開，從而達到管理冗余鏈路的目的，保證了

24、網(wǎng)絡(luò)的正常通信。 生成樹協(xié)議的工作過程可以歸納為四個步驟：選擇根網(wǎng)橋、選擇根端口、選擇指定端口和阻塞非根、非指定端口。6.3.2 6.3.2 生成樹協(xié)議的配置生成樹協(xié)議的配置 配置命令： Switch(config)#spanning-tree /開啟生成樹協(xié)議 Switch(config)#no spanning-tree /關(guān)閉生成樹協(xié)議 Switch(config)#spanning-tree mode stp |rstp| mstp /指定生成樹協(xié)議的類型 Switch(config)#spanning-tree priority /配置交換機的優(yōu)先級 Switch(config-if

25、)#spanning-tree port-priority /配置交換機端口的優(yōu)先級 Switch(config-if)#spanning-tree cost /配置交換機端口的路徑成本 Switch#show spanning-tree /查看生成樹配置 Switch#show spanning-tree interface Port-ID /查看交換機某個具體端口的生成樹信息6.4 端口聚合 6.4.1 端口聚合的概述 端口聚合（也稱鏈路聚合）是將交換機的多個同類型、低帶寬的交換端口捆綁成一條高帶寬的復(fù)合主干鏈路，實現(xiàn)了主干鏈路均衡負載，避免了單條鏈路出現(xiàn)的擁塞現(xiàn)象。打比喻來說，端口聚合就

26、如同超市設(shè)置多個收銀臺以防止收銀臺過少而出現(xiàn)消費者排隊等候過長的現(xiàn)象。一般來說，兩個普通交換機連接的最大帶寬取決于媒介的連接速度（100BAST-TX雙絞線為200M），而使用Trunk技術(shù)可以將4個200M的端口捆綁后成為一個高達800M的連接。這一技術(shù)的優(yōu)點是以較低的成本通過捆綁多端口提高帶寬，而其增加的開銷只是連接用的普通五類網(wǎng)線和多占用的端口，它可以有效地提高子網(wǎng)的上行速度，從而消除網(wǎng)絡(luò)訪問中的瓶頸。另外，如果使用多個端口組成的多條鏈路，其中的一條鏈路出現(xiàn)故障，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流可以動態(tài)地快速轉(zhuǎn)向其他工作正常的端口組成的鏈路中而進行傳輸，對數(shù)據(jù)起了冗余備份的作用，同時提高了網(wǎng)絡(luò)的安全性和

27、可靠性。因此，端口聚合技術(shù)是可將多物理連接當作一個單一的邏輯連接來處理，它允許兩個交換機之間通過多個端口并行連接就如同一條高帶寬的鏈路來傳輸數(shù)據(jù)，提供了更高的帶寬、更大的吞吐量，增加了冗余、可恢復(fù)性。6.4.2 6.4.2 端口聚合的配置端口聚合的配置 配置舉例：如圖所示，分別連接交換機Switch1的FastEthernet0/23和交換機Switch2 的FastEthernet0/23、交換機Switch1的FastEthernet0/24和交換機Switch2 的FastEthernet0/24。為了提高兩交換機端口連接的帶寬，需要分別把交換機Switch1的FastEthernet0

28、/23、FastEthernet0/24和Switch2的FastEthernet0/23、 FastEthernet 0/24定義為AP端口。提示： Switch1(config)#interface aggregateport 10 /在交換機上創(chuàng)建一個AP10端口 Switch1(config)#interface range fa 0/23,0/24 /選擇交換機以太網(wǎng)端口fa 0/23,0/24 Switch1(config-if-range)#port-group 10 /把選擇的以太網(wǎng)端口fa 0/23,0/24加入到創(chuàng)建的AP10端口中6.5 6.5 路由技術(shù)路由技術(shù) 路由是指

29、路由器從一個接口上收到數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的目的地址進行定向并轉(zhuǎn)發(fā)到另一個接口的過程。當路由器的某一個接口接收到一個數(shù)據(jù)包時，會查看包中的目標網(wǎng)絡(luò)地址以判斷該包的目的地址在當前的路由表中是否存在（即路由器是否知道到達目標網(wǎng)絡(luò)的路徑）。如果發(fā)現(xiàn)包的目標地址與本路由器的某個接口所連接的網(wǎng)絡(luò)地址相同，那么馬上數(shù)據(jù)轉(zhuǎn)發(fā)到相應(yīng)接口；如果發(fā)現(xiàn)包的目標地址不是自己的直連網(wǎng)段，路由器會查看自己的路由表，查找包的目的網(wǎng)絡(luò)所對應(yīng)的接口，并從相應(yīng)的接口轉(zhuǎn)發(fā)出去；如果路由表中記錄的網(wǎng)絡(luò)地址與包的目標地址不匹配，則根據(jù)路由器配置轉(zhuǎn)發(fā)到默認接口，在沒有配置默認接口的情況下會給用戶返回目標地址不可達的 ICMP 信息并將數(shù)據(jù)

30、包丟棄。 一般來說，根據(jù)路由器對路由信息學(xué)習(xí)、生成并維護路由表的方法，可包括直連路由和非直連路由。 6.5.1 6.5.1 靜態(tài)路由和默認路由靜態(tài)路由和默認路由 1.靜態(tài)路由概念 靜態(tài)路由是由網(wǎng)絡(luò)規(guī)劃者根據(jù)網(wǎng)絡(luò)拓撲，使用命令手工在路由器上配置的非直連路由信息，這些靜態(tài)路由信息指導(dǎo)報文發(fā)送，靜態(tài)路由方式也不需要路由器進行計算，不占用路由器的帶寬，但是它完全依賴于網(wǎng)絡(luò)規(guī)劃者配置。當網(wǎng)絡(luò)規(guī)模較大或網(wǎng)絡(luò)拓撲經(jīng)常發(fā)生改變時，由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作出及時反映，所以一般用于網(wǎng)絡(luò)規(guī)模不大、拓撲結(jié)構(gòu)固定的網(wǎng)絡(luò)中。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準。因此，靜

31、態(tài)路由的最大優(yōu)點就是簡單、高效、可靠。 2.靜態(tài)路由的配置 配置命令: Router(config)#ip route 目的網(wǎng)絡(luò) 子網(wǎng)掩碼 出口端口號下跳一級端口的IP地址 3.默認路由的配置 配置命令: Router(config)#ip route 出口端口號下跳一級端口的IP地址 6.5.2 6.5.2 動態(tài)路由協(xié)議動態(tài)路由協(xié)議 動態(tài)路由是網(wǎng)絡(luò)中的路由器之間根據(jù)實時網(wǎng)絡(luò)拓撲變化，相互通信傳遞路由信息，利用收到的路由信息通過路由選擇協(xié)議計算，更新路由表的過程 。因此，動態(tài)路由減少了許多管理任務(wù)。根據(jù)是否在一個自治域（指一個具有統(tǒng)一管理機構(gòu)、統(tǒng)一路由策略的網(wǎng)絡(luò)

32、）內(nèi)部使用，動態(tài)路由協(xié)議分為內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）和外部網(wǎng)關(guān)協(xié)議（EGP）。自治域內(nèi)部采用的路由選擇協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議，常用的有路由信息協(xié)議RIP（Routing Information Protocol）、開放式最短路徑優(yōu)先OSPF（Open Shortest Path First）協(xié)議；外部網(wǎng)關(guān)協(xié)議主要用于多個自治域之間的路由選擇，常用的是BGP和BGP-4。其中，IGP又分為距離矢量路由協(xié)議和鏈路狀態(tài)路由協(xié)議(如：OSPF)。6.5.3 RIP6.5.3 RIP協(xié)議協(xié)議 1.RIP協(xié)議概念 路由信息協(xié)議（Routing Information Protocol, RIP）是應(yīng)用較早、使

33、用較普遍的內(nèi)部網(wǎng)關(guān)協(xié)議，是典型的距離向量路由選擇協(xié)議。當網(wǎng)絡(luò)中每臺路由器啟動后，會把自己直連的網(wǎng)絡(luò)寫到路由表中，同時每隔30秒會將自己生成的路由表廣播或者組播給相鄰路由器，并偵聽相鄰路由器發(fā)來的路由表，經(jīng)過層層相互交換學(xué)習(xí)，每個路由器最終會學(xué)習(xí)到所有網(wǎng)絡(luò)的信息，并根據(jù)距離矢量算法會得到一條到達每一個目標網(wǎng)絡(luò)的最佳路徑。RIP采用距離矢量算法，即路由器根據(jù)它跳過的路由器的數(shù)目最少（即“距離最短”）來作為度量標準來確定到達目的地的最佳路由。RIP協(xié)議允許一條路徑最大跳數(shù)是15，因此，距離為16時即為不可到達。由此可見，RIP協(xié)議的缺點就是，一方面，周期性地發(fā)布路由表，帶來不必要的流量；另一方面，路

34、由器不清楚整個網(wǎng)絡(luò)的拓撲，只知道和自己直連的網(wǎng)絡(luò)情況，對網(wǎng)絡(luò)變化收斂速度慢，且存在路由環(huán)路的問題，不適用于大型的復(fù)雜網(wǎng)絡(luò)。 2.RIP協(xié)議配置配置實例：如圖所示，分別配置R1和R2的RIP路由協(xié)議，使PC1和PC2能夠互通。 提示： R1(config)#router rip /啟用R1的RIP協(xié)議，并進入RIP路由配置模式 R1(config-router)#network /指定R1中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R1(config-router)#network /指定R1中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R2(config)#r

35、outer rip /啟用R2的RIP協(xié)議，并進入RIP路由配置模式 R2(config-router)#network /指定R2中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址 R2(config-router)#network /指定R2中直接參與RIP路由協(xié)議的網(wǎng)絡(luò)地址6.5.4 OSPF6.5.4 OSPF協(xié)議協(xié)議 1.OSPF協(xié)議概念 OSPF是一種鏈路狀態(tài)的路由協(xié)議，需要每個路由器向其同一管理域的所有其它路由器發(fā)送鏈路狀態(tài)廣播信息。在OSPF的鏈路狀態(tài)廣播中包括所有接口信息、所有的量度和其它一些變量。利用OSPF的路由器首先必須收集有關(guān)的鏈路

36、狀態(tài)信息，并根據(jù)一定的算法計算出到每個節(jié)點的最短路徑。 與RIP不同，OSPF將一個自治域再劃分為區(qū)，相應(yīng)地即有兩種類型的路由選擇方式：當源和目的地在同一區(qū)時，采用區(qū)內(nèi)路由選擇；當源和目的地在不同區(qū)時，則采用區(qū)間路由選擇。這就大大減少了網(wǎng)絡(luò)開銷，并增加了網(wǎng)絡(luò)的穩(wěn)定性。當一個區(qū)內(nèi)的路由器出了故障時并不影響自治域內(nèi)其它區(qū)路由器的正常工作，這也給網(wǎng)絡(luò)的管理、維護帶來方便。由此可見，OSPF協(xié)議是用鏈路狀態(tài)來評估路由，可用于規(guī)模較大的網(wǎng)絡(luò)。 2.OSPF協(xié)議配置配置實例：如圖所示，分別配置R1和R2的OSPF路由協(xié)議，使PC1與PC2能夠互通。 提示： R1(config)#router ospf 1

37、 /啟用OSPF協(xié)議，并進入OSPF路由配置模式 R1(config-router)#network 55 area 0 /在區(qū)域內(nèi)指定直接參與該路由器OSPF路由的網(wǎng)絡(luò)地址及其通配符掩碼 R1(config-router)#network 55 area 0 R2(config)#router ospf 1 /啟用OSPF協(xié)議，并進入OSPF路由配置模式 R2(config-router)#network 55 area 0 /在區(qū)域內(nèi)指定直接參與該路由器OSPF路由的網(wǎng)絡(luò)

38、地址及其通配符掩碼 R2(config-router)#network 55 area 06.6 6.6 網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全 6.6.1 6.6.1 交換機端口安全交換機端口安全 1.端口安全概述 端口安全是一種基于MAC地址的安全機制。其主要功能是通過定義各種端口安全模式，讓設(shè)備學(xué)習(xí)到合法的源MAC地址，以達到相應(yīng)的網(wǎng)絡(luò)管理效果。它主要有以下幾個功能： （1）允許特定MAC地址的網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。 （2）限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。 2端口安全的配置 交換機端口安全配置思路大

39、概分為三步：一是配置端口的安全策略；二是指定授權(quán)訪問的設(shè)備的 MAC地址；三是配置端口安全違例后的處理。 （3）端口的三種違例處理方式配置命令： Switch(config-if)#switchport port-security violationprotect|restrict|shutdown /指定端口違例處理的三種方式說明：交換機端口的三種違例處理方式，即為基于上述情況（1）和（2）違規(guī)發(fā)生后的動作：nProtect為保護方式，直接丟棄違例主機的數(shù)據(jù)包，不發(fā)出警告。nRestrict為限制方式，不轉(zhuǎn)發(fā)主機的數(shù)據(jù)包，向網(wǎng)絡(luò)管理主機發(fā)出通知。nShutdown禁用端口方式，當違例產(chǎn)生時，

40、馬上關(guān)閉端口并發(fā)出一個通知。 6.6.2 6.6.2 訪問控制列表（訪問控制列表（ACLACL） 1、ACL概述 訪問控制列表（Access Control List，ACL） 是由permit或deny語句組成的一系統(tǒng)有順序的規(guī)則列表，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目標地址、端口號等來描述，ACL通過這些規(guī)則對數(shù)據(jù)包進行分類，并將規(guī)則應(yīng)用到路由器的某個接口上，這樣路由器就可以根據(jù)這些規(guī)則來判斷哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕，從而實現(xiàn)網(wǎng)絡(luò)的安全性。 ACL安全控制技術(shù)根據(jù)其控制網(wǎng)絡(luò)范圍的精細程度不同，主要分為:標準IP ACL（Standard IP ACL）和擴展IP ACL（Exte

41、nded IP ACL）兩種類型。ACL安全控制的主要執(zhí)行的兩個動作為允許（Permit）和拒絕（Deny）,應(yīng)用在路由器上主要是在端口的輸入（In）和輸出（Out）兩個方向上的應(yīng)用。 2.定義IP ACL （1）標準IP ACL配置命令： Router(config)#access-list 列表號 permit|deny定義過濾源主機范圍 說明:n標準IP ACL列表號取值范圍：199n關(guān)鍵字permit表示允許從該端口通過流量，deny表示拒絕從該端口通過流量。n過濾源主機范圍可以是源主機的IP地址（host ip地址），也可以是源網(wǎng)絡(luò)地址（源網(wǎng)絡(luò)地址 通配符掩碼）。n若過濾源主機范圍為

42、“ 55”,可以用關(guān)鍵字“any”來代替。n若過濾源主機范圍為“IP地址 ”， 可以用關(guān)鍵字“host ip地址”來代替。 （2）擴展IP ACL配置命令： Router(config)#access-list 列表號 permit|deny 協(xié)議定義過濾源主機范圍定義過濾源端口定義過濾目的主機訪問定義過濾目的端口說明：n擴展IP ACL列表號取值范圍：100199n關(guān)鍵字permit表示允許從該端口通過流量，deny表示拒絕從該端口通過流量。n協(xié)議定義了需要被過濾的協(xié)議，如IP、TCP。n過濾源主機范圍可以是源主機的IP地址（host i

43、p地址），也可以是源網(wǎng)絡(luò)地址（源網(wǎng)絡(luò)地址 通配符掩碼）。n在ACL中規(guī)定通配符掩碼用反向掩瑪來表示子網(wǎng)掩碼。n若過濾源主機范圍為“ 55”,可以用關(guān)鍵字“any”來代替。n若過濾源主機范圍為“IP地址 ”， 可以用關(guān)鍵字“host ip地址”來代替。 n定義過濾目的主機范圍與過濾源主機范圍的結(jié)構(gòu)相同。n定義過濾端口可以使用數(shù)字或可識別的助記符表示各種條件。 3. IP ACL應(yīng)用到端口上配置命令： Router(config)#interface 端口號 Router(config-if)#ip access-group 列表號 in|ou

44、t說明：ninterface 命令用于指定IP ACL應(yīng)用的端口。n“端口號”是端口名稱，一般表示方法：“端口類型 插槽號/接口號”。n in|out用來指定該ACL是被應(yīng)用到流入端口（in）,還是流出端口（out）。網(wǎng)絡(luò)環(huán)境： 如圖所示，路由器R1連接了二個網(wǎng)段，分別為/24和/24。在/24網(wǎng)段中有一臺服務(wù)器Server提供WWW服務(wù)，IP地址為2。配置實例1： 如上圖所示，禁止/24網(wǎng)段中除Server這臺服務(wù)器訪問/24的計算機。2可以正常訪172

45、.16.1.0/24。提示： R1(config)# access-list 1 permit host 2 /配置ACL1，允許2的數(shù)據(jù)包通過。 R1(config)#access-list 1 deny any /配置ACL1，拒絕其他一切IP地址進行通信。 R1(config)#int fa 0/1 /進入fa 0/1端口。 R1(config-if)#ip access-group 1 in /將ACL1應(yīng)用在此端口上。 說明：經(jīng)過設(shè)置后E1端口就只容許來自2這個IP地址的數(shù)據(jù)包傳輸出去了。來自其他IP地址的數(shù)據(jù)包都無法通過E

46、1傳輸。配置實例2： 如上圖所示，禁止Server這臺服務(wù)器對/24網(wǎng)段的訪問，而/24中的其他計算機可以正常訪問。提示： R1(config)#access-list 1 deny host 2 /設(shè)置ACL1，禁止2的數(shù)據(jù)包通過 R1(config)#access-list 1 permit any /設(shè)置ACL1，允許其他地址的計算機進行通信 R1(config)#int fa 0/1 /進入fa 0/1端口 R1(config-if)#ip access-group 1 in /將ACL1應(yīng)用在fa 0/1

47、端口上，同理可以進入fa 0/0端口后使用ip access-group 1 out來完成宣告。說明：配置完畢后除了2其他IP地址都可以通過路由器正常通信。配置實例3： 如上圖所示，禁止的計算機訪問的計算機，包括Server這臺服務(wù)器，不過唯獨可以訪問Server上的WWW服務(wù)，而其他服務(wù)不能訪問。提示： R1(config)#access-list 101 permit tcp any 2 eq www /設(shè)置ACL101，允許源地址為任意IP，目的地址為服務(wù)器Server的80端口即WWW服務(wù)。

48、由于路由器默認添加deny any的命令，所以ACL只寫此一句即可。 R1(config)#int fa 0/1 /進入fa 0/1端口 R1(config-if)#ip access-group 101 out /將ACL101應(yīng)用到fa 0/1出口上說明：設(shè)置完畢后的計算機就無法訪問的計算機了，就算是服務(wù)器2開啟了FTP服務(wù)也無法訪問，唯獨可以訪問的就是Server的WWW服務(wù),而網(wǎng)段中的計算機是可以訪問網(wǎng)段中的計算機。 6.7 6.7 網(wǎng)絡(luò)地址轉(zhuǎn)換（網(wǎng)絡(luò)地址轉(zhuǎn)換（NATNAT）6.7.1

49、6.7.1 私有地址私有地址 Internet上有成千上萬臺主機，為了區(qū)分這些主機，人們給每臺主機分配了專門的地址，稱為IP地址。通過IP地址可以訪問到網(wǎng)絡(luò)上的每一臺主機。IP地址分為公有地址和私有地址兩種，但只有公有地址才能在Internet上進行通信，私有地址不能直接在公網(wǎng)上使用，只能內(nèi)部私有網(wǎng)絡(luò)中使用。因此，私有(保留)地址是當時國際組織分配IP地址時保留（不需要經(jīng)過申請注冊）下來的一部分地址，用于給一個組織網(wǎng)絡(luò)內(nèi)部的計算機使用。根據(jù)IP網(wǎng)絡(luò)協(xié)議，在前三類IP地址中都有一個網(wǎng)絡(luò)號是保留的IP地址, 不需要申請注冊，只能在內(nèi)部私有網(wǎng)絡(luò)中使用。具體分布如下：nA類：/8 nB

50、類：/16 nC類：/246.7.2 NAT6.7.2 NAT概念概念 網(wǎng)絡(luò)地址轉(zhuǎn)換，即NAT(Network Address Translation)功能，就是指在一個組織網(wǎng)絡(luò)內(nèi)部，各計算機間通過私有IP地址進行通信，而當組織內(nèi)部的計算機要與外部Internet網(wǎng)絡(luò)進行通訊時，具有NAT功能的設(shè)備（這里路由器）負責(zé)將其私有IP地址轉(zhuǎn)換為真的IP地址，即該組織申請的合法IP地址才能進行通信。 簡單地說，NAT就是一種將私有(保留)地址轉(zhuǎn)換為合法IP地址的接入廣域網(wǎng)技術(shù)。這種技術(shù)不僅解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并

51、保護網(wǎng)絡(luò)內(nèi)部的計算機，提高了網(wǎng)絡(luò)的安全性。6.7.3 NAT6.7.3 NAT原理原理 一般路由器會為NAT的眾多連接建立一個表，即NAT表.NAT在做地址轉(zhuǎn)換時，依靠在NAT表中記錄內(nèi)部私有地址和外部公有地址的映射關(guān)系來保存地址轉(zhuǎn)換的依據(jù)。當執(zhí)行NAT操作時，路由器在做某一數(shù)據(jù)連接操作時只需要查詢該表，就可以得知應(yīng)該如何轉(zhuǎn)換地址，而不會發(fā)生數(shù)據(jù)連接的混淆。 在運行NAT的路由器中，當數(shù)據(jù)包被傳送時，NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號。設(shè)置NAT功能的路由器至少要有一個Inside（內(nèi)部）端口和一個Outside（外部）端口。內(nèi)部端口連接內(nèi)網(wǎng)的用戶，外部端口一般連接到

52、Internet。當IP數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)時，NAT負責(zé)將內(nèi)網(wǎng)IP源地址（通常是專用地址）轉(zhuǎn)換為合法的公共IP地址。當IP數(shù)據(jù)包進入內(nèi)網(wǎng)時，NAT將合法的公共IP目的地址轉(zhuǎn)換為內(nèi)網(wǎng)的IP源地址，如圖6-17所示：6.7.4 NAT6.7.4 NAT的配置的配置 1.靜態(tài)NAT 靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Static Nat）是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。n配置實例1：某公司想讓外部用戶訪問一臺內(nèi)部網(wǎng)絡(luò)的WEB服務(wù)器，管理員可以在路由

53、器Router中使用靜態(tài)NAT，將一個外網(wǎng)全球地址（）映射到一個內(nèi)部地址（0），假設(shè)該路由器Router 的Fa0/0端口連接內(nèi)網(wǎng),Fa 0/1端口連接外網(wǎng)。提示:（1）定義內(nèi)部接口：連接內(nèi)部網(wǎng)絡(luò)： Router(config)#int fa 0/0 Router(config-if)#ip address Router(config-if)#ip nat inside /定義該端口連接內(nèi)網(wǎng)（2）定義外部接口：連接外部網(wǎng)絡(luò)： Router(config-if)#int fa 0/1 Router(config-if)#ip a

54、ddress Router(config-if)#ip nat outside（3）在內(nèi)部本地地址與外部全局地址之間建立靜態(tài)地址轉(zhuǎn)換： Router(config)#ip nat inside source static 0 2.動態(tài)NAT 動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Dynamic Nat）是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進

55、行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 配置實例2：某公司想讓外部用戶訪問內(nèi)部網(wǎng)絡(luò)的主機，管理員可以在路由器Router中使用動態(tài)NAT，將一個外網(wǎng)全球地址（）映射到內(nèi)部網(wǎng)絡(luò)地址（）上，假設(shè)路由器Router 的Fa0/0端口接內(nèi)網(wǎng),Fa 0/1端口接外網(wǎng)。 提示：（1）定義內(nèi)部端口，連接內(nèi)部網(wǎng)絡(luò)： Router(config)#int fa 0/0 Router(config-if)#ip address Router(c

56、onfig-if)#ip nat inside（2）定義外部端口，連接外部網(wǎng)絡(luò)： Router(config-if)#int fa 0/1 Router(config-if)#ip address Router(config-if)#ip nat outside（3）定義合法IP地址池： Router(config)#ip nat pool mynatpool netmask （4）定義一個標準ACL，允許哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換 ： Router(config)#access-list 1

57、permit 55（5）實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換：將由access-list指定的內(nèi)部本地地址與指定的外部合法地址進行地址轉(zhuǎn)換。 Router(config)#ip nat inside source list 1 pool myanatpool 3. 端口復(fù)用動態(tài)NAT 端口多路復(fù)用(端口多路復(fù)用Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation)，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。配置實例3：某公司想讓外部用戶訪問內(nèi)部網(wǎng)絡(luò)的主機，管