第7章路由技術(shù)

第7章路由技術(shù)1/31/202517.1廣域網(wǎng)技術(shù)概述7.2IP子網(wǎng)間的路由技術(shù)7.3

訪問(wèn)控制列表7.4網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)1/31/20252服務(wù)供應(yīng)商

企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1/31/202531點(diǎn)對(duì)點(diǎn)鏈路2電路交換3虛擬電路服務(wù)供應(yīng)商服務(wù)供應(yīng)商

7.1.2廣域網(wǎng)接入技術(shù)分類數(shù)據(jù)報(bào)數(shù)據(jù)流每次會(huì)話建立一條專用物理電路SVCPVC4包交換采用統(tǒng)計(jì)利用技術(shù)實(shí)現(xiàn)電路共享ATM/幀中繼/X.251/31/202547.1.3廣域網(wǎng)設(shè)備1廣域網(wǎng)交換機(jī)工作在OSI的數(shù)據(jù)鏈路層，對(duì)幀中繼，X.25以及SMDS等數(shù)據(jù)流量進(jìn)行操作

交換式多兆位數(shù)據(jù)服務(wù)（SDMS）是基于數(shù)據(jù)報(bào)的高速分組交換WAN技術(shù),主要用于公用數(shù)據(jù)網(wǎng)絡(luò)的通信。SMDS可以采用光纖介質(zhì)或銅介質(zhì)，另外，SMDS的數(shù)據(jù)單元比較大，可以包容IEEE802.3、IEEE802.5和FDDI的幀。

1/31/202557.1.3廣域網(wǎng)設(shè)備2接入服務(wù)器1/31/202567.1.3廣域網(wǎng)設(shè)備3調(diào)制解調(diào)器4CSU/DSU信道服務(wù)單元（CSU）/數(shù)據(jù)服務(wù)單元（DSU）

數(shù)據(jù)終端設(shè)備到數(shù)據(jù)通信設(shè)備的復(fù)用器

功能：信號(hào)再生，線路調(diào)節(jié)，誤碼糾正，信號(hào)管理，同步和電路測(cè)試等

5ISDN終端適配器6路由器(Router)1/31/20257服務(wù)供應(yīng)商

廣域網(wǎng)接入常見的DTE與DCE之間的連接標(biāo)準(zhǔn)

★EIA/TIA-232

★V.35

DTE

(數(shù)據(jù)終端設(shè)備)DCE

(數(shù)據(jù)通訊設(shè)備)1/31/202587.1.4廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議

定義數(shù)據(jù)如何封裝和傳輸包括點(diǎn)對(duì)點(diǎn)，多點(diǎn)和多路訪問(wèn)交換服務(wù)所設(shè)計(jì)的協(xié)議點(diǎn)到點(diǎn)協(xié)議（PPP）高級(jí)數(shù)據(jù)鏈路控制（HDLC）協(xié)議

幀中繼（FrameRelay）

1/31/20259專線電路交換分組交換HDLC,PPPPPP,HDLCX.25,F-R服務(wù)供應(yīng)商服務(wù)供應(yīng)商7.1.4廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議1/31/202510F.R網(wǎng)絡(luò)的組成FRSFRSFRSFRS網(wǎng)橋CSU/DSURouterRouter廣域網(wǎng)PSTN,X.25,DDNRouter幀中繼在這里工作HostBridgeLANLANLAN1/31/202511TCP/IPIPX/SPXPPPSLIPHDLCAppleTalk?HDLC,SLIP協(xié)議–只支持異步傳輸方式–只支持IP協(xié)議–沒(méi)有驗(yàn)證機(jī)制?PPP協(xié)議–支持同異步傳輸方式–采用NCP協(xié)議（如IPCP、IPXCP），支持更多的網(wǎng)絡(luò)層協(xié)議–具有驗(yàn)證協(xié)議CHAP、PAP，

更好了保證了網(wǎng)絡(luò)的安全性7.1.4廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議7.1.5點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)PPP是SLIP（SerialLineInterfaceprotocol）的繼承者同步和異步電路實(shí)現(xiàn)路由器到路由器和主機(jī)到網(wǎng)絡(luò)（host-to-network）的連接。PPP能支持差錯(cuò)檢測(cè)，支持各種協(xié)議，在連接時(shí)IP地址可復(fù)制，具有身份驗(yàn)證功能，可以以各種方式壓縮數(shù)據(jù)、支持動(dòng)態(tài)地址協(xié)商、支持多鏈路捆綁PPP協(xié)議是目前使用最廣泛的廣域網(wǎng)協(xié)議1/31/202513PPP的特性（1）能夠控制數(shù)據(jù)鏈路的建立；（2）能夠?qū)P地址進(jìn)行分配和使用；（3）允許同時(shí)采用多種網(wǎng)絡(luò)層協(xié)議；（4）能夠配置和測(cè)試數(shù)據(jù)鏈路；（5）能夠進(jìn)行錯(cuò)誤檢測(cè)；（6）有協(xié)商選項(xiàng)，能夠?qū)W(wǎng)絡(luò)層的地址和數(shù)據(jù)壓縮等進(jìn)行協(xié)商。1/31/202514PPP的功能（1）PPP采用高級(jí)數(shù)據(jù)鏈路控制（HDLC）作為在點(diǎn)對(duì)點(diǎn)的鏈路上封裝數(shù)據(jù)報(bào)的基本方法。（2）鏈路控制協(xié)議LCP（LinkControlProtocol）用于啟動(dòng)線路、測(cè)試、任選功能的協(xié)商及關(guān)閉連接。（3）網(wǎng)絡(luò)控制協(xié)議NCP（NetworkControlProtocol）用來(lái)建立和配置不同的網(wǎng)絡(luò)層協(xié)議。PPP協(xié)議允許同時(shí)采用多種網(wǎng)絡(luò)層協(xié)議，如IP協(xié)議、IPX協(xié)議和DECnet協(xié)議。PPP協(xié)議使用NCP對(duì)多種協(xié)議進(jìn)行封裝。1/31/202515(EIA/TIA-232、449、520,V.21V.24,V.35,ISDN)LCP(連接控制協(xié)議)NCP(網(wǎng)絡(luò)控制協(xié)議)OSI21(IP,IPX,AppleTalk)3PPP協(xié)議結(jié)構(gòu)BCPIPCPIPXCP1,同步2,異步3，PPP會(huì)話建立的過(guò)程鏈路的建立和配置協(xié)調(diào)

通信的發(fā)起方發(fā)送LCP幀來(lái)配置和檢測(cè)數(shù)據(jù)鏈路，主要用于協(xié)商選擇將要采用的PPP參數(shù)，包括身份驗(yàn)證、壓縮、回叫、多鏈路等。

鏈路質(zhì)量檢測(cè)：在鏈路建立、協(xié)調(diào)之后，這一階段是可選的

網(wǎng)絡(luò)層協(xié)議配置協(xié)調(diào)

通信的發(fā)起方發(fā)送NCP幀以選擇并配置網(wǎng)絡(luò)層協(xié)議。配置完成后，通信雙方可以發(fā)送各自的網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)報(bào)。

關(guān)閉鏈路

通信鏈路將一直保持到LCP或NCP幀關(guān)閉鏈路1/31/202517PAPorCHAP認(rèn)證AuthenticationPSTN/ISDNPSTN/ISDN回?fù)蹸allback壓縮Compression多鏈路捆綁Multilink包BundleData鏈路的建立和配置協(xié)調(diào)階段中的

PPPLCP選項(xiàng)實(shí)例：PC終端首先通過(guò)調(diào)制解調(diào)器呼叫遠(yuǎn)程訪問(wèn)服務(wù)器

PC終端首先通過(guò)調(diào)制解調(diào)器呼叫ISP的路由器。當(dāng)路由器上的遠(yuǎn)程訪問(wèn)模塊應(yīng)答了這個(gè)呼叫后，就建立起一個(gè)初始的物理連接兩端開始傳送一系列經(jīng)過(guò)PPP封裝的LCP分組。如果有一方要求認(rèn)證，接下來(lái)就開始認(rèn)證過(guò)程如果認(rèn)證失敗，如錯(cuò)誤的用戶名、密碼，則鏈路被終止，雙方負(fù)責(zé)通信的設(shè)備或模塊（如用戶端的調(diào)制解調(diào)器或服務(wù)器端的遠(yuǎn)程訪問(wèn)模塊）將關(guān)閉物理鏈路回到空閑狀態(tài)。如果認(rèn)證成功，通信雙方開始交換一系列的NCP分組來(lái)配置網(wǎng)絡(luò)層如果網(wǎng)絡(luò)層使用的是IP協(xié)議，此過(guò)程是由IPCP完成的。當(dāng)NCP配置完成后，雙方的邏輯通信鏈路就建立好了，雙方可以開始在此鏈路上交換上層數(shù)據(jù)。當(dāng)數(shù)據(jù)傳送完成后，一方會(huì)發(fā)起斷開連接的請(qǐng)求。這時(shí)，首先使用NCP來(lái)釋放網(wǎng)絡(luò)層的連接，歸還IP地址，然后利用LCP來(lái)關(guān)閉數(shù)據(jù)鏈路層連接，最后，雙方的通信設(shè)備或模塊關(guān)閉物理鏈路回到空閑狀態(tài)。1/31/2025194，PAP和CHAP原理PPP提供了兩種可選的身份認(rèn)證方法：

口令驗(yàn)證協(xié)議（PasswordAuthenticationProtocol，PAP）挑戰(zhàn)握手協(xié)議（ChallengeHandshakeAuthenticationProtocol，CHAP）

1/31/202520身份認(rèn)證：PAPPAP是一個(gè)簡(jiǎn)單的、實(shí)用的身份驗(yàn)證協(xié)議，PAP認(rèn)證進(jìn)程只在雙方的通信鏈路建立初期進(jìn)行。如果認(rèn)證成功，在通信過(guò)程中不再進(jìn)行認(rèn)證。如果認(rèn)證失敗，則直接釋放鏈路。當(dāng)雙方都封裝了PPP協(xié)議且要求進(jìn)行PAP身份認(rèn)證，同時(shí)它們之間的鏈路在物理層己激活后，認(rèn)證客戶端（被認(rèn)證一端）會(huì)不停地發(fā)送身份認(rèn)證請(qǐng)求，直到身份認(rèn)證成功。當(dāng)認(rèn)證客戶端路由器發(fā)送了用戶名或口令后，認(rèn)證服務(wù)器會(huì)將收到的用戶名和口令與本地?cái)?shù)據(jù)庫(kù)中的口令信息比較，如果正確則身份認(rèn)證成功，否則認(rèn)證失敗。

1/31/202521身份認(rèn)證：PAP（二次握手）PAP認(rèn)證過(guò)程經(jīng)過(guò)了兩個(gè)階段，通常稱為兩次握手

階段1：被驗(yàn)證方（遠(yuǎn)端路由器）發(fā)送用戶名和口令到驗(yàn)證方階段2：驗(yàn)證方（中心路由器）對(duì)用戶名和口令進(jìn)行認(rèn)證，根據(jù)結(jié)果返回接受或拒絕認(rèn)證請(qǐng)求的信息。PAP認(rèn)證可以在一方進(jìn)行，即由一方認(rèn)證另一方的身份，也可以進(jìn)行雙向身份認(rèn)證。這時(shí)，要求被認(rèn)證的雙方都要通過(guò)對(duì)方的認(rèn)證程序，否則，無(wú)法建立二者之間的鏈路。PAP的弱點(diǎn)是用戶的用戶名和密碼是明文發(fā)送的，有可能被協(xié)議分析軟件捕獲而導(dǎo)致安全問(wèn)題。但恰恰是這樣，認(rèn)證只在鏈路建立初期進(jìn)行，因此節(jié)省了寶貴的鏈路帶寬。

1/31/202522ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Request(username,password)AuthNakPPPPAP驗(yàn)證AuthAck兩次握手協(xié)議明文方式進(jìn)行驗(yàn)證身份認(rèn)證：CHAPCHAP認(rèn)證比PAP認(rèn)證更安全，因?yàn)镃HAP不在線路上發(fā)送明文密碼，而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機(jī)序列，也被稱為“挑戰(zhàn)字符串”。同時(shí)，身份認(rèn)證可以隨時(shí)進(jìn)行，包括在雙方正常通信過(guò)程中。因此，非法用戶就算截獲并成功破解了一次密碼，此密碼也將在一段時(shí)間內(nèi)失效。CHAP對(duì)系統(tǒng)要求很高，因?yàn)樾枰啻芜M(jìn)行身份質(zhì)詢、響應(yīng)。這需要耗費(fèi)較多的CPU資源，因此只用在對(duì)安全要求很高的場(chǎng)合。1/31/202524身份認(rèn)證：CHAP（三次握手）CHAP認(rèn)證過(guò)程經(jīng)過(guò)了三個(gè)階段，通常稱為三次握手：階段1：當(dāng)被驗(yàn)證方（遠(yuǎn)端路由器）向驗(yàn)證方（中心路由器）發(fā)送用戶名做請(qǐng)求連接后，驗(yàn)證方向被驗(yàn)證方發(fā)送一串隨機(jī)字符（“挑戰(zhàn)”階段）階段2：被驗(yàn)證方利用口令和MD5算法，對(duì)隨機(jī)字符串進(jìn)行加密產(chǎn)生密文，并將密文發(fā)送給驗(yàn)證方（“回應(yīng)”階段）階段3：驗(yàn)證方利用同樣的方式對(duì)隨機(jī)字符串進(jìn)行加密產(chǎn)生密文，并將它與接收到的密文進(jìn)行比較，然后根據(jù)比較結(jié)果接受或拒絕連接請(qǐng)求，若比較結(jié)果一致則接受，否則拒絕。1/31/202525ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Challenge挑戰(zhàn)字符串ResponseSuccessPPPCHAP驗(yàn)證FailureCHAP為三次握手協(xié)議只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸口令安全性要比PAP高，但認(rèn)證報(bào)文浪費(fèi)帶寬

第一步定義接口封裝類型:

Router(config-if)#encapsulation

ppp

第二步定義本地?cái)?shù)據(jù)庫(kù):

Router(config)#username

usernamepasswordpasswordPPP認(rèn)證配置第三步定義PAP認(rèn)證:

Router(config-if)#pppauthenticationpap<callin>Router(config-if)#ppppapsent-usernameusernamepasswordpassword定義CHAP認(rèn)證:

Router(config-if)#pppauthenticationchap<callin>Router(config-if)#pppchaphostnameusernameRouter(config-if)#pppchappasswordpasswordPPP認(rèn)證配置ISDN/PSTNhostnameleftusernamerightpasswordright1int

bri0encapsulationppppppauthenticationPAPipadd10.0.0.1255.255.255.0ppppapsent-usernameleft

passwordleft1hostnamerightusernameleftpasswordleft1int

bri0encapsulationppppppauthenticationPAPipadd10.0.0.2255.255.255.0ppppapsent-usernameright

passwordright1PPPPAP認(rèn)證配置實(shí)例ISDN/PSTNUsernamerightpasswordstarnethostnameR1intserial0

encapsulationppp

pppauthenticationCHAP

pppchaphostnameleft

pppchappasswordstarnetPPPCHAP認(rèn)證配置實(shí)例UsernameleftpasswordstarnethostnameR2intserial0

encapsulationppp

pppauthenticationCHAP

pppchaphostnameright

pppchappasswordstarnetRouter#showinterfacesserial

<interfacenumber>PPP認(rèn)證的調(diào)試Router#debugpppauthentication7.2IP子網(wǎng)間的路由技術(shù)7.2.1什么是路由7.2.2路由算法7.2.3設(shè)計(jì)目標(biāo)7.2.4路由協(xié)議7.2.5靜態(tài)路由7.2.6缺省路由7.2.7動(dòng)態(tài)路由7.2.8RIP路由信息協(xié)議1/31/202532CERNET拓?fù)鋱D1/31/202533北京Cernet主節(jié)點(diǎn)網(wǎng)絡(luò)實(shí)訓(xùn)室通過(guò)校園網(wǎng)訪問(wèn)陳瑞球樓通過(guò)沙灣電信訪問(wèn)1/31/2025347.2.1什么是路由路由:是把信息從源穿過(guò)網(wǎng)絡(luò)傳遞到目的地行為

路由的兩個(gè)動(dòng)作:確定最佳路徑和數(shù)據(jù)轉(zhuǎn)發(fā)路徑選擇度量值(Metric)下一跳目的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)

不是同一網(wǎng)絡(luò)的數(shù)據(jù)包總是發(fā)送給路由器

根據(jù)兩個(gè)地址轉(zhuǎn)發(fā):下一跳路由器的MAC地址目的主機(jī)的IP協(xié)議地址端系統(tǒng)（ES--endsystem）中介系統(tǒng)（IS--intermediatesystem）域內(nèi)IS（intradomainIS）和域間IS（interdomainIS）

1/31/2025357.2.2路由算法路由算法使用許多不同的metric以確定最佳路徑常用的metric如下：

1路徑長(zhǎng)度

2可靠性

3延遲

4帶寬

5負(fù)載

6通信代價(jià)1/31/2025367.2.3設(shè)計(jì)目標(biāo)路由算法通常具有下列設(shè)計(jì)目標(biāo)的一個(gè)或多個(gè)：

1

優(yōu)化

2簡(jiǎn)單、低耗

3健壯、穩(wěn)定

4快速聚合

5靈活性1/31/2025377.2.4路由協(xié)議路由協(xié)議（RoutingProtocol）：用于路由器動(dòng)態(tài)尋找網(wǎng)絡(luò)最佳路徑，保證所有路由器擁有相同的路由表，一般路由協(xié)議決定數(shù)據(jù)包在網(wǎng)絡(luò)上的行走路徑。RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP

路由協(xié)議通過(guò)提供共享路由選擇信息的機(jī)制來(lái)支持可路由協(xié)議

路由協(xié)議消息在路由器之間傳送，路由協(xié)議允許路由器與其他路由器通信來(lái)修改和維護(hù)路由選擇表。

1/31/2025387.2.4路由協(xié)議1RoutedProtocol（可被路由的協(xié)議）IP、DECnet、AppleTalk、NovellNetWare

2路由動(dòng)作包括:尋址和轉(zhuǎn)發(fā)3路由表

在路由器的內(nèi)部都有一個(gè)路由表，這個(gè)路由表中包含有該路由器知道的目的網(wǎng)絡(luò)地址以及通過(guò)此路由器到達(dá)這些網(wǎng)絡(luò)的最佳路徑，如某個(gè)接口或下一跳的地址，正是由于路由表的存在，路由器可以依據(jù)它進(jìn)行轉(zhuǎn)發(fā)。1/31/2025397.2.4路由協(xié)議4路由選擇算法

必須啟動(dòng)并維護(hù)包含路由信息的路由表，其中路由信息依賴于所用的路由選擇算法卻不盡相同。路由選擇算法將收集到的不同信息填入路由表中，并根據(jù)路由表可將目的網(wǎng)絡(luò)與下一站（nexthop）的關(guān)系告訴路由器。5路由器就是互聯(lián)網(wǎng)中的中轉(zhuǎn)站

1/31/2025407.2.4路由協(xié)議6Router（路由器）可以路由數(shù)據(jù)包,必須至少知道以下狀況：

1)目標(biāo)地址（destinationaddress）

2)可以學(xué)習(xí)到遠(yuǎn)端網(wǎng)絡(luò)狀態(tài)的鄰居router3)到達(dá)遠(yuǎn)端網(wǎng)絡(luò)的所有路徑

4)到達(dá)遠(yuǎn)端網(wǎng)絡(luò)的最佳路徑

5)如何保持和驗(yàn)證路由信息1/31/2025417.2.4路由協(xié)議7典型的路由選擇方式有兩種：

靜態(tài)路由和動(dòng)態(tài)路由

1)動(dòng)態(tài)路由與靜態(tài)路由發(fā)生沖突時(shí)，以靜態(tài)路由為準(zhǔn)2)路由器中進(jìn)行尋徑時(shí)，路由器首先查找靜態(tài)路由，如果查到則根據(jù)相應(yīng)的靜態(tài)路由轉(zhuǎn)發(fā)分組；否則再查找動(dòng)態(tài)路由。

1/31/2025427.2.5靜態(tài)路由靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置

靜態(tài)路由的路由器之間沒(méi)有必要進(jìn)行路由信息的交換

動(dòng)態(tài)路由因?yàn)樾枰酚善髦g頻繁地交換各自的路由表，而對(duì)路由表的分析可以揭示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)地址等信息，因此存在一定的不安全性，而靜態(tài)路由不存在這樣的問(wèn)題，故出于安全方面的考慮也可以采用靜態(tài)路由。大型和復(fù)雜的網(wǎng)絡(luò)環(huán)境通常不宜采用靜態(tài)路由

1/31/2025437.2.5靜態(tài)路由點(diǎn)對(duì)點(diǎn)或電路交換連接ABNetwork1只有一個(gè)網(wǎng)絡(luò)連接沒(méi)有必要進(jìn)行路由信息的更改1/31/202544router(config)#iproute[網(wǎng)絡(luò)編號(hào)][子網(wǎng)掩碼][轉(zhuǎn)發(fā)路由器的IP地址/本地接口]

配置靜態(tài)路由

iproute

靜態(tài)路由的一般配置步驟1.為每條鏈路確定地址（包括子網(wǎng)地址和網(wǎng)絡(luò)地址）2.為每個(gè)路由器,標(biāo)識(shí)非直連的鏈路地址3.為每個(gè)路由器寫出未直連的地址的路由語(yǔ)句（寫出直連地址的語(yǔ)句是沒(méi)必要的）

router(config)#iproute172.16.1.0255.255.255.0172.16.2.1

或

router(config)#iproute172.16.1.0255.255.255.0serial0172.16.2.1S0172.16.1.0B172.16.2.2網(wǎng)絡(luò)AB10.0.0.0靜態(tài)路由配置實(shí)例

刪除靜態(tài)路由用命令noiprouterouter（config）#noiproute[網(wǎng)絡(luò)編號(hào)][子網(wǎng)掩碼]1/31/202546172.16.2.1SO172.16.1.0B172.16.2.2網(wǎng)絡(luò)AB0.0.0.0router(config)#iproute0.0.0.00.0.0.0172.16.2.2

7.2.6缺省（默認(rèn)）路由Internet上大約99.99%的路由器上都存在一條缺省路由!缺省路由一般使用在stub網(wǎng)絡(luò)中（稱末端或存根網(wǎng)絡(luò)），stub網(wǎng)絡(luò)是只有1條出口路徑的網(wǎng)絡(luò)。

所有未明確指明目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)包都按缺省路由進(jìn)行轉(zhuǎn)發(fā)。1/31/2025477.2.7動(dòng)態(tài)路由動(dòng)態(tài)路由是指路由器能夠自動(dòng)地建立自己的路由表，并且能夠根據(jù)實(shí)際情況的變化適時(shí)地進(jìn)行調(diào)整。1/31/2025487.2.7動(dòng)態(tài)路由動(dòng)態(tài)路由機(jī)制的運(yùn)作依賴路由器的兩個(gè)基本功能：對(duì)路由表的維護(hù)，路由器之間適時(shí)的路由信息交換。路由協(xié)議路由協(xié)議路由信息表路由信息表路由器1路由器21/31/202549動(dòng)態(tài)路由協(xié)議的分類路由協(xié)議IGPEGP鏈路狀態(tài)協(xié)議（OSPF,IS-IS）距離矢量協(xié)議（RIPv1,RIPv2,IGRP,EIGRP）EGP（外部網(wǎng)關(guān)協(xié)議）BGP（邊界網(wǎng)關(guān)協(xié)議）外部網(wǎng)關(guān)協(xié)議：在自治系統(tǒng)之間交換路由選擇信息的互聯(lián)網(wǎng)絡(luò)協(xié)議，如BGP。內(nèi)部網(wǎng)關(guān)協(xié)議：在自治系統(tǒng)內(nèi)交換路由選擇信息的路由協(xié)議，常用的因特網(wǎng)內(nèi)部網(wǎng)關(guān)協(xié)議有OSPF、RIP。1/31/202550動(dòng)態(tài)路由協(xié)議的分類1，距離矢量路由協(xié)議2，鏈路狀態(tài)路由協(xié)議

OSPF：開放式最短路徑優(yōu)先（OpenShortestPathFirst）是一種鏈路狀態(tài)路由協(xié)議。每一個(gè)OSPF路由器都維護(hù)一個(gè)相同的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)，從這個(gè)數(shù)據(jù)庫(kù)中，可以構(gòu)造一個(gè)最短路徑樹來(lái)計(jì)算路由表。OSPF的收斂速度比RIP要快，而且在更新路由信息時(shí)，產(chǎn)生的流量也較少。為了管理大規(guī)模的網(wǎng)絡(luò)，OSPF采用分層的連接結(jié)構(gòu)，將自治系統(tǒng)分為不同的區(qū)域，以減少路由重計(jì)算的時(shí)間。1/31/2025517.2.8RIPRIP（RoutingInformationProtocols，路由信息協(xié)議）

是典型的距離矢量協(xié)議，通過(guò)計(jì)算抵達(dá)目的地的最少跳數(shù)（hop）來(lái)選取最佳路徑

路由器每30秒相互發(fā)送廣播信息

RIP協(xié)議的跳數(shù)最多計(jì)算到15跳

網(wǎng)絡(luò)上的路由器在一條路徑不能用時(shí)必須經(jīng)歷決定替代路徑的過(guò)程，這個(gè)過(guò)程稱為收斂RIP收斂時(shí)間長(zhǎng)1/31/2025527.2.8RIPRIP協(xié)議的原始版本（版本1，即RIPv1）不能應(yīng)用VLSM，因此不能分割地址空間以最大效率地應(yīng)用有限的IP地址。RIP協(xié)議的后來(lái)版本（版本2，即RIPv2）通過(guò)引入子網(wǎng)屏蔽與每一路由廣播信息一起使用實(shí)現(xiàn)了這個(gè)功能。

路由協(xié)議還應(yīng)該能防止數(shù)據(jù)包進(jìn)入循環(huán)，或落入路由選擇循環(huán)，這是由于多余連接影響網(wǎng)絡(luò)的問(wèn)題。RIP協(xié)議假定如果從網(wǎng)絡(luò)的一個(gè)終端到另一個(gè)終端的路由跳數(shù)超過(guò)15個(gè)，那么一定牽涉到了循環(huán)，因此當(dāng)一個(gè)路徑達(dá)到16跳，將被認(rèn)為是達(dá)不到的。顯然，這限制了RIP協(xié)議在網(wǎng)絡(luò)上的使用。

1/31/2025537.2.8RIPRIP協(xié)議設(shè)計(jì)用于使用同種技術(shù)的中小型網(wǎng)絡(luò)，適用于大多數(shù)的校園網(wǎng)和使用速率變化不是很大的連續(xù)性的地區(qū)性網(wǎng)絡(luò)

RIP的路由信息都封裝在UDP的數(shù)據(jù)報(bào)中，RIP在UDP的520端口上

1/31/2025547.2.8RIP路由更新早期的RIP路由協(xié)議中路由的更新是通過(guò)定時(shí)廣播實(shí)現(xiàn)的。缺省情況下，路由器每隔30秒向與它相連的網(wǎng)絡(luò)廣播自己的路由表，接到廣播的路由器將收到的信息添加至自身的路由表中。每個(gè)路由器都如此廣播，最終網(wǎng)絡(luò)上所有的路由器都會(huì)得知全部的路由信息。正常情況下，每30秒路由器就可以收到一次路由信息確認(rèn)，如果經(jīng)過(guò)180秒，即6個(gè)更新周期，一個(gè)路由項(xiàng)還沒(méi)有得到確認(rèn)，路由器就認(rèn)為它已失效了。如果經(jīng)過(guò)240秒，即8個(gè)更新周期，路由項(xiàng)仍沒(méi)有得到確認(rèn)，它就被從路由表中刪除。上面的30秒，180秒和240秒的延時(shí)都是由計(jì)時(shí)器控制的，它們分別是更新計(jì)時(shí)器（Update

Timer）、無(wú)效計(jì)時(shí)器（Invalid

Timer）和刷新計(jì)時(shí)器（Flush

Timer）。1/31/2025551.啟用RIP進(jìn)程

router(config)#routerrip

router(config-router)#

2.配置network命令

router(config-router)#network<主類網(wǎng)絡(luò)號(hào)>

含義:1.公布屬于該主類的子網(wǎng)

2.包含在該主類內(nèi)的接口發(fā)送接收路由信息

3.指定RIP版本router(config-router)#VERSION{1|2}

配置RIP1/31/202556配置舉例在路由器Router1上的RIP配置如下：1.啟用RIP進(jìn)程router（config）#routerrip2.配置network命令

router（config-router）#network172.16.0.0

1/31/202557驗(yàn)證RIP的配置

router#showipprotocols

顯示路由表的信息

router#showiproute

清除IP路由表的信息

router#cleariproute*

在控制臺(tái)顯示RIP的工作狀態(tài)

router#debugiprip

RIP的調(diào)試1/31/202558RIP的缺陷1.過(guò)于簡(jiǎn)單，以跳數(shù)為依據(jù)計(jì)算度量值，經(jīng)常得出非最優(yōu)路由；2.度量值以16為限，不適合大的網(wǎng)絡(luò)；3.性能差，接受來(lái)自任何設(shè)備的路由更新；4.支持無(wú)類IP地址和VLSM（VariableLengthSubnetMask，變長(zhǎng)子網(wǎng)掩碼）；5.收斂緩慢，時(shí)間經(jīng)常大于5分鐘；

6.帶寬很大。

1/31/2025597.3訪問(wèn)控制列表訪問(wèn)控制列表（accesscontrollists），也稱為訪問(wèn)列表（accesslists），在有的文檔中還稱之為包過(guò)濾，是通過(guò)定義一些準(zhǔn)則對(duì)經(jīng)過(guò)路由器接口上的數(shù)據(jù)報(bào)文進(jìn)行控制：轉(zhuǎn)發(fā)或丟棄?；驹L問(wèn)控制列表包括標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表

高級(jí)訪問(wèn)控制列表（動(dòng)態(tài)訪問(wèn)控制列表）

1/31/2025607.3訪問(wèn)控制列表為什么要配置訪問(wèn)列表

限制路由更新限制網(wǎng)絡(luò)訪問(wèn)

什么時(shí)候配置訪問(wèn)列表

訪問(wèn)列表編號(hào)列表要指定一個(gè)唯一的名稱或編號(hào)，以便在協(xié)議內(nèi)部能夠唯一標(biāo)識(shí)每個(gè)訪問(wèn)列表標(biāo)準(zhǔn)編號(hào)為：1-99擴(kuò)展編號(hào)為：100-1991/31/2025617.3基本訪問(wèn)控制列表配置準(zhǔn)則1基本準(zhǔn)則典型準(zhǔn)則主要有以下：

源地址目標(biāo)地址上層協(xié)議

標(biāo)準(zhǔn)IP訪問(wèn)列表（1－99）主要是根據(jù)源地址來(lái)進(jìn)行轉(zhuǎn)發(fā)或阻斷分組的，擴(kuò)展IP訪問(wèn)列表（100－199）使用以上三種組合來(lái)進(jìn)行轉(zhuǎn)發(fā)或阻斷分組的。

1/31/2025627.3基本訪問(wèn)控制列表配置準(zhǔn)則2隱含“拒絕所有數(shù)據(jù)流”準(zhǔn)則語(yǔ)句典型準(zhǔn)則在每個(gè)訪問(wèn)列表的末尾隱含著一條“拒絕所有數(shù)據(jù)流”準(zhǔn)則語(yǔ)句，因此如果分組與任何準(zhǔn)則都不匹配，將被拒絕。3.輸入準(zhǔn)則語(yǔ)句的順序

加入的每條準(zhǔn)則都被追加到訪問(wèn)列表的最后，語(yǔ)句被創(chuàng)建以后，就無(wú)法單獨(dú)刪除它，而只能刪除整個(gè)訪問(wèn)列表。所以訪問(wèn)列表語(yǔ)句的次序非常重要。路由器在決定轉(zhuǎn)發(fā)還是阻斷分組時(shí)，路由器按語(yǔ)句創(chuàng)建的次序?qū)⒎纸M與語(yǔ)句進(jìn)行比較，找到