交换机相关技术原理及配置.ppt

交换机、路由器防火墙、安全等设备,2013年7月 赵晓丹,交换机主要技术和实现,概述、交换机接口介绍第1章.命令行操作基础第2章.网络设备文件管理第3章.网络设备基本调试第4章.配置VLAN第5章.生成树协议第6章.配置链路聚合第7章.IP子网划分,概述.交换机介绍补充,交换机(英文：Switch，意为“开关”)是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。二层交换机工作在数据链路层三层交换机工作在网络层主要负责数据转发和过滤,固化接口10/100M自适应电口10/100/1000M自适应电口扩展插槽10/100M自适应电口10/100/1000M自适应电口100M光纤接口1000M光纤接口堆叠接口,10/100M,10/100/1000M,扩展插槽,扩展模块,概述.交换机接口-固化接口/扩展插槽,GBIC接口（Giga Bitrate Interface Converter）传输标准：1,000M连接GBIC模块（逐渐被淘汰）常用GBIC模块,GBIC接口,GBIC接口,-SFP接口,SFP接口（Small Formfactor Pluggable）传输标准：1,000M连接Mini-GBIC模块常用Mini-GBIC模块,SFP接口,-XENPAK,XENPAK接口传输标准：10,000M连接XENPAK模块（逐渐被淘汰）常用XENPAK模块,注：1.根据光纤介质的纤芯大小不同，传输距离会有所不同。2.短距离使用长距模块时需加光衰,XENPAK接口,XFP接口传输标准：10,000M连接XFP模块常用XFP模块,-XFP接口,XFP接口,SFP+接口传输标准：10,000M连接SFP+模块常用SFP+模块,-SFP+,SFP+接口,第1章.命令行操作基础,配置网络设备的方法命令行使用入门常用的命令配置远程登录,通过Console口本地访问 通过AUX口远程访问使用Telnet终端访问使用SSH终端访问,1.访问网络设备命令行接口的方法,使用Console口进行连接,Console线缆,Router/Switch,终端,Console口,串口,创建新连接,选择COM口,设置属性参数,进入设备配置界面,-使用Console口进行连接,使用AUX口进行远程连接,Router/Switch,终端,PSTN,Modem,Modem,AUX口,串口,使用Telnet进行连接,主机,Router/Switch,IP网络,Telnet客户端,Telnet服务器,网络接口,网络接口,-连接失败,-连接成功，弹出登录提示,使用TCP端口23,连接设备的IP地址,使用SSH进行连接,SSH（Secure Shell，安全外壳）在无安全保证的网络上提供安全的远程登录等服务由传输协议、验证协议和连接协议三部分组成使用TCP端口22提供Password和Publickey两种验证方式,PSTN/ISDN,主机,Router/Switch,IP网络,SSH客户端,SSH服务器,2.命令视图,用户视图设备启动后的缺省视图,可查看启动后基本运行状态和统计信息系统视图配置系统全局通用参数的视图各类功能视图路由协议视图配置路由协议参数的视图 接口视图配置接口参数的视图 用户界面视图配置登陆设备的各个用户属性的视图。,各种视图之间的关系,用户视图,用户界面视图,接口视图,路由协议视图,VLAN视图,用可以从任意视图直接回到用户视图,以任意方式登录命令行,system-view,quit,user-interface命令,quit,interface命令,quit,router命令,quit,vlan命令,quit,系统视图,3.常用设备管理命令,配置设备名称配置系统时间显示系统时间 配置欢迎/提示信息,H3Csysname?TEXT Host name(1 to 30 characters),clock datetime?TIME Specify the time(HH:MM:SS),H3Cheader?incoming Specify the banner of the terminal user-interface legal Specify the legal banner login Specify the login authentication banner motd Specify the banner of today shell Specify the session banner,display clock,常用信息查看命令,查看版本信息查看当前配置显示接口信息显示接口IP状态与配置信息显示系统运行统计信息,display version,display current-configuration,display ip interface brief,display interface,display diagnostic-information,Telnet配置例子,RTA,system-viewH3Ctelnet server enable H3Cinterface ethernet0/0H3C-ethernet0/0ip address 192.168.0.254 24H3Cuser-interface vty 0H3C-ui-vty0set authentication password cipher 123456H3C-ui-vty0user privilege level 2,PCA,IP地址：192.168.0.1子网掩码：255.255.255.0,Telnet客户端,Telnet服务器,G0/0,用Telnet登录,Microsoft Windows XP 版本 5.1.2600(C)版权所有 1985-2001 Microsoft Corp.C:Documents and Settingsusertelnet 192.168.0.254*Copyright(c)2004-2007 Hangzhou H3C Tech.Co.,Ltd.All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*Login authenticationPassword:,输入密码,第2章.网络设备文件系统,网络设备的文件基础网络设备软件维护基础,1.网络设备的文件系统,设备以文件的方式对运行所需的数据进行存储网络设备通过文件系统管理这些文件主要文件应用程序文件配置文件日志文件,网络设备的存储方式,BootROM程序,应用程序文件起始配置文件（saved-configuration）日志文件,运行中的操作系统运行中的配置（current-configuration）,路由器,在不同型号的设备上，Flash可能是内置的Flash存储器，也可能是CF卡,配置文件的操作,保存配置擦除配置设置下次启动的配置文件 备份/恢复下次启动配置文件,save,reset saved-configuration,backup startup-configuration to dest-addr filename restore startup-configuration from src-addr filename,startup saved-configuration filename,2.配置文件的显示与维护,查看保存的配置文件查看系统启动配置文件查看当前生效的配置查看当前视图下生效的配置,display saved-configuration,display startup,H3C-ui-vty0display this,display current-configuration,查看设备存储区域文件,VTY用户视图下输入 dir可以看到生效的配置文件、系统文件、日志文件等；,用TFTP传输文件的工作方式,Host,Router/Switch,IP网络,TFTP服务器,TFTP客户端,在设备上使用TFTP服务,在执行上传/下载操作时，到TFTP服务器的可达路由可能有多条，用户可以配置客户端TFTP报文的源地址当设备作为TFTP客户端时，可以把本设备的文件上传到TFTP服务器，还可以从TFTP服务器下载文件到本地设备下载分为普通下载和安全下载两种,tftp server-address get|put|sget source-filename destination-filename source interface interface-type interface-number|ip source-ip-address,TFTP操作示例,tftp 192.168.0.10 get config.cfg/从远程TFTP服务器192.168.0.10上取得配置文件恢复到H3C设备上，此处的config.cfg文件需放置在TFTP源程序同目录 The file config.cfg exists.Overwrite it?Y/N:y/此处提示设备中已经有配置文件了，是否覆盖？Verifying server file.Deleting the old file,please wait.File will be transferred in binary mode Downloading file from remote tftp server,please wait.TFTP:1329 bytes received in 0 second(s)File downloaded successfully./此处可观察TFTP服务器端状态显示，传输成功后可查看FLASH缓存下的配置文件生成时间,下载配置文件实例,网络设备的一般引导过程,加电,硬件自检,加载BootROM程序,加载应用程序,进入BootROM模式,进入命令行模式,加载启动配置,加载空配置,查找应用程序文件,找不到,找到,查找起始配置文件,找到,找不到,网络设备软件维护的一般性方法,在命令行模式中采用TFTP/FTP上传/下载应用程序及配置文件，实现应用程序升级在BootROM模式中通过以太口采用TFTP/FTP完成应用程序软件升级在BootROM模式中通过Console口采用XModem协议完成BootROM及应用程序的升级,第3章.网络设备基本调试命令,ping使用ICMP回显请求与应答检测网络连通性tracert使用TTL超时机制检测网络连通性调试信息的输出由协议开关和屏幕开关两个开关控制对网络设备所支持的绝大部分协议和功能，系统都提供了相应的调试功能，帮助用户对错误进行诊断和定位调试信息的输出由两个开关控制,系统调试的操作,开启控制台对系统信息的监视功能 打开调试信息的屏幕输出开关 打开模块调试开关 显示调试开关,terminal monitor,terminal debugging,display debugging,debugging module-name,第4章.VLAN,VLAN简介VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。主要应用于交换机和路由器中，但主流应用还是在交换机之中。不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。,广播风暴,二层交换机,设备发出的广播帧在广播域中传播，占用网络带宽，降低设备性能。,二层交换机,PCA,PCB,PCC,PCD,广播帧,二层交换机,用路由器来隔离广播,二层交换机,路由器能够隔离广播，减小广播域范围。,路由器,PCA,PCB,PCC,PCD,广播帧,二层交换机,用VLAN隔离广播,VLAN1,二层交换机,PCA,PCB,PCC,PCD,广播帧,VLAN2,二层交换机使用VLAN隔离广播，减小广播域范围。,VLAN的优点,有效控制广播域范围增强局域网的安全性灵活构建虚拟工作组,PCA,PCB,PCC,PCD,工作组1,工作组2,基于端口的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10,VLAN 20,基于MAC地址的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10,VLAN 20,基于协议的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,PCA,PCB,PCC,PCD,VLAN 10运行IP协议,VLAN 20运行IPX协议,基于子网的VLAN,E1/0/1,E1/0/2,E1/0/3,E1/0/4,10.0.0.1/24,VLAN 10,VLAN 20,10.0.0.2/24,20.0.0.1/24,20.0.0.2/24,VLAN基本配置,创建VLAN并进入VLAN视图 将指定端口加入到当前VLAN中,Switch vlan vlan-id,Switch-vlan10 port interface-list,配置Trunk端口,配置端口的链路类型为Trunk类型允许指定的VLAN通过当前Trunk端口设置Trunk端口的缺省VLAN,Switch-Ethernet1/0/1 port link-type trunk,Switch-Ethernet1/0/1 port trunk permit vlan vlan-id-list|all,Switch-Ethernet1/0/1 port trunk pvid vlan vlan-id,配置Hybrid端口,配置端口的链路类型为Hybrid类型允许指定的VLAN通过当前Hybrid端口设置Hybrid端口的缺省VLAN,Switch-Ethernet1/0/1 port link-type hybrid,Switch-Ethernet1/0/1 port hybrid vlan vlan-id-list tagged|untagged,Switch-Ethernet1/0/1 port hybrid pvid vlan vlan-id,VLAN配置示例,PCA,PCB,PCC,PCD,E1/0/2,E1/0/1,E1/0/2,E1/0/1,E1/0/24,E1/0/24,SWAvlan 10SWA-vlan10port Ethernet1/0/1SWAvlan 20SWA-vlan20port Ethernet1/0/2SWAinterface Ethernet1/0/24SWA-Ethernet1/0/24port link-type trunk SWA-Ethernet1/0/24port trunk permit vlan 10 20,SWA,SWB,SWBvlan 10SWB-vlan10port Ethernet1/0/1SWBvlan 20SWB-vlan20port Ethernet1/0/2SWBinterface Ethernet1/0/24SWB-Ethernet1/0/24port link-type trunk SWB-Ethernet1/0/24port trunk permit vlan 10 20,VLAN的作用是限制局域网中广播传送的范围；通过对以太网帧进行打标签操作，交换机区分不同VLAN的数据帧；交换机的端口链路类型分为Access、Trunk和Hybrid。Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。,第5章.生成树协议,生成树协议STP的作用RSTPMSTP生成树协议的配置,生成树协议,SWA,SWB,SWC,STP（Spanning Tree Protocol，生成树协议）是用于在局域网中消除数据链路层物理环路的协议。通过在桥之间交换BPDU（Bridge Protocol Data Unit，桥协议数据单元），来保证设备完成生成树的计算过程。,BPDU,BPDU,BPDU,STP的作用,通过阻断冗余链路来消除桥接网络中可能存在的路径回环当前路径发生故障时，激活冗余备份链路，恢复网络连通性,ROOT,物理段 A,物理段 C,物理段 E,物理段 B,物理段 D,生成树的不足,端口从阻塞状态进入转发状态必须经历两倍的Forwarding Delay时间如果网络中的拓扑结构变化频繁，网络会频繁地失去连通性,SWA,SWB,SWC,DP,DP,RP,DP,RP,Server,每次拓扑变化，我都至少有30秒的时间无法访问服务器！,RSTP,RSTP（Rapid Spanning Tree Protocol，快速生成树协议）是STP协议的优化版RSTP具备STP的所有功能RSTP可以实现快速收敛在某些情况下，端口进入转发状态的延时大大缩短，从而缩短了网络最终达到拓扑稳定所需要的时间。,STP产生的原因是为了消除路径回环的影响STP通过选举根桥和阻塞冗余端口来消除环路,第6章.链路聚合,链路聚合(Link Aggregation)链路聚合一般又称为端口聚合、端口捆绑，其功能是将交换机的多个低带宽端口捆绑成一条高带宽链路，可以实现链路负载平衡。避免链路出现拥塞现象。可通过两个三个或是四个端口进行捆绑，分别负责特定端口的数据转发，防止单条链路转发速率过低而出现丢包的现象。,链路聚合的作用,增加链路带宽提供链路可靠性,Link Aggregation,Server,PC,SWA,SWB,PCA,PCB,聚合链路负载分担原理,SWA,SWB,聚合后链路基于流进行负载分担,链路聚合分类,静态聚合 双方系统间不使用聚合协议来协商链路信息动态聚合 双方系统间使用聚合协议来协商链路信息LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的、能够实现链路动态聚合的协议,链路聚合的优点,价格便宜，性能带宽得到提升；不需要重新布线，也无需考虑千兆网传输距离极限问题；Trunking可以捆绑任何相关的端口，也可以随时取消设置，灵活性高。链路聚合可以提供负载均衡能力以及系统容错。,并不是所以端口都可以被聚合在一起，实现链路聚合过程中需要考虑在链路聚合的一端交换机上的几个端口需要满足下列条件：几个端口必须处于相同的VLAN中 端口必须使用相同的网络介质 几个端口必须都处于全双工工作模式几个端口必须是相同传输速率的端口,链路聚合的条件,第7章.IP子网划分,子网划分的需求子网划分基础知识子网划分相关计算VLSM和CIDR,分类IP地址的低效性,IP地址资源浪费严重IP网络数量不敷使用业务扩展缺乏灵活性无法应对Internet的爆炸式增长,子网划分方法,子网划分前的两级IP地址,网络号,主机号,子网划分后的三级IP地址,网络号,主机号,子网号,IP地址与子网掩码,网络号,主机号,子网号,11111111111111111,00000000,11111111,网络号,子网号,主机号,IP地址,子网掩码,默认掩码,A类地址默认掩码为255.0.0.0B类地址默认掩码为255.255.0.0C类地址默认掩码为255.255.255.0,示例：计算子网地址,134.144.1.1,AND,255.255.255.0,134.144.1.0,子网掩码与IP地址进行逐位逻辑与运算获得网络地址,134.144.1.255,IP地址,子网掩码,子网地址,广播地址,计算子网内可用主机地址数,假设子网的主机号位数为N，则可用地址数为2N-2个主机号全1为广播地址，主机号全0为网络地址,1.1,1.1,1.1,网络号,主机号,子网号,N位,0.1,0.10,1.10,示例：计算子网内可用地址数,0001000011,1110111110,子网地址为192.168.3.192，子网掩码为255.255.255.224，计算该子网内的可用主机地址数量,掩码位数等于27N32275可用的主机地址数等于25-2=30,根据子网掩码计算子网数,1.1,0.0,1.1,默认子网掩码,主机号,子网号,M位,假设子网号位数为M，则子网数为2M个,VLSM,子网划分的局限性无法实现把网络划分为不同大小的子网常常会浪费许多主机地址VLSM（Variable Length Subnet Mask,可变长子网掩码）允许使用多个子网掩码划分子网使组织的IP地址空间得到更有效的利用,CIDR,Internet面临的问题随着Internet的成长，路由表迅速扩大IPv4地址将很快耗尽CIDR（Classless Inter-Domain Routing，无类域间路由)将好几个IP网络结合在一起，使用一种无类别的域际路由选择算法，可以减少由核心路由器运载的路由选择信息的数量。消除了自然分类地址和子网划分的界限将网络前缀相同的连续IP地址组成CIDR地址块支持强化地址汇聚,VLSM与CIDR区别,CIDR建立于“超级组网”的基础上，“超级组网”是“子网划分”的派生词，可看作子网划分的逆过程。子网划分时，从地址主机部分借位，将其合并进网络部分；超级组网中，则是将网络部分的某些位合并进主机部分。这种无类别超级组网技术通过将一组较小的无类别网络汇聚为一个较大的单一路由表项，减少了Internet路由域中路由表条目的数量。,无类域间路由斜线表示法,CIDR使用斜线表示法表示一个网络斜线表示法采用IP地址后跟一个斜线“/”，斜线后是一个表示网络前缀长度的数值,27位网络前缀,网络地址,网络掩码,192.168.1.1/27,路由系统主要内容,概述第1章.IP路由原理第2章.直连路由和静态路由第3章.路由协议概述第4章.RIP原理及配置第5章.OSPF基础第6章.用访问控制列表实现包过滤 第7章.NAT网络地址转换,第1章.IP路由原理,路由器负责将数据报文在逻辑网段间进行转发;路由器设备工作在第三层-网络层；每台路由器都有路由表，路由存储在路由表中；路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。路由器通过动态维护路由表来反映当前的网络拓扑，并通过网络上其他路由器交换路由和链路信息来维护路由表。路由环路是由错误的路由导致的，它会造成IP报文在网络中循环转发，浪费网络带宽；,路由和路由表,路由是指导IP报文发送的路径信息；路由信息写在路由表中；路由表是路由器转发报文的判断依据。路由表有目的地址、下一跳、出接口、度量值要素构成；,路由器单跳操作,查找路由表,IP报文入站,查看下一跳地址,送往接口,转发,丢弃,没有匹配路由,在直连链路上,以下一跳作为目的地址,不在直连链路上,报文封装,有匹配路由,路由的来源,直连路由开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由。手工配置的静态路由无开销，配置简单，需人工维护，适合简单拓扑结构的网络。路由协议发现的路由开销大，配置复杂，无需人工维护，适合复杂拓扑结构的网络。,路由度量值（Metric）,路由度量值表示到达这条路由所指目的地址的代价。通常影响路由度量值的因素：线路延迟、带宽、线路使用率、线路可信度、跳数、最大传输单元不同路由协议参考的因素不同,如果到相同目的地址有多个路由来源，则：以Preference（优先级）确定不同类型优先级Preference越小，优先级越高优先级最高的路由被添加进路由表,目的网段比较,生效路由,优先级比较,添加到路由表,不同,相同,优先级高,路由优先级,各类路由默认优先级,路由环路,E1/0,S0/0,S0/0,S1/0,S0/0,11.1.0.0,11.4.0.0,RTA,RTB,RTC,S0/1,E1/0,S0/1,环路产生的原因：配置错误或协议缺陷,查看设备路由表,Router display ip routing-table,查看IP路由表摘要信息查看符合指定目的地址的路由信息查看路由表的统计信息,Router display ip routing-table ip-address mask-length|mask,Router display ip routing-table statistics,第2章.直连路由和静态路由,路由器负责将数据报文在逻辑网段间进行转发路由是指导路由器如何进行数据报文发送的路径信息每台路由器都有路由表，路由存储在路由表中路由环路是由错误的路由导致的，它会造成IP报文在网络中循环转发，浪费网络带宽,1.直连路由的建立,为路由器的接口配置IP地址,该接口物理层和链路层状态均为up,该接口所属网段的直连路由进入路由表,基本的局域网间路由,SWA,SWB,Hub,RTA,10.1.1.1/24,E0/0,E1/0,E0/1,10.1.3.1/24,10.1.2.1/24,IP=10.1.1.2/24GW=10.1.1.1,IP=10.1.1.3/24GW=10.1.1.1,IP=10.1.3.2/24GW=10.1.3.1,IP=10.1.3.3/24GW=10.1.3.1,IP=10.1.2.3/24GW=10.1.2.1,IP=10.1.2.2/24GW=10.1.2.1,3.静态路由配置,静态路由配置命令配置要点：只有下一跳所属的接口是点对点接口时，才可以填写interface-type interface-name，否则必须填写gateway-address目的IP地址和掩码都为0.0.0.0的路由为默认路由,Routerip route-static dest-address mask|mask-length gateway-address|interface-type interface-name preference preference-value,RTB,RTC,RTD,RTA,Server,PC,静态路由配置示例,配置时须注意：所有路由器上都必须配置到所有网段的路由下一跳地址须为直连链路上可达的地址,10.4.0.0/24,10.2.0.0/24,10.1.0.0/24,10.3.0.0/24,10.5.0.0/24,RTBip route-static 10.1.0.0 255.255.255.0 10.2.0.1RTBip route-static 10.4.0.0 255.255.255.0 10.3.0.2RTBip route-static 10.5.0.0 255.255.255.0 10.3.0.2,.1,.1,.1,.2,.2,.2,RTB,RTC,RTD,RTA,Server,PC,静态默认路由配置,10.4.0.0/24,10.2.0.0/24,10.1.0.0/24,10.3.0.0/24,10.5.0.0/24,RTBip route-static 10.1.0.0 255.255.255.0 10.2.0.1RTBip route-static 0.0.0.0 0.0.0.0 10.3.0.2,.1,.1,.1,.2,.2,.2,RTAip route-static 0.0.0.0 0.0.0.0 10.2.0.2,RTDip route-static 0.0.0.0 0.0.0.0 10.4.0.1,静态路由实现路由备份和负载分担,RTA,S0/0,ISP乙,路由备份：到相同目的地址的下一跳和优先级都不同优先级高的为主，低的为备负载分担：到相同目的地址的下一跳不同，但优先级相同到目的地的流量将均匀分布,ISP甲,S0/1,第3章.路由协议概述,路由可以静态配置，也可以通过路由协议来自动生成路由协议能够自动发现和计算路由，并在拓扑变化时自动更新，无需人工维护，适用于复杂的网络。,1.路由协议与可路由协议,路由协议路由器用来计算、维护网络路由信息的协议，通常有一定的算法，工作在传输层或应用层。常见的路由协议有RIP、OSPF、BGP等可路由协议可被路由器转发的协议，工作在网络层。常见的可路由协议有IP、IPX等,动态路由协议在协议栈中的位置,RIP基于UDP，端口号520OSPF基于IP，协议号89BGP基于TCP，端口号179,动态路由协议的基本原理,网络中所有路由器须实现相同的某种路由协议并已经启动该协议邻居发现路由器通过发送广播报文或发送给指定的路由器邻居以主动把自己介绍给网段内的其它路由器。路由交换每台路由器将自己已知的路由相关信息发给相邻路由器。路由计算每台路由器运行某种算法，计算出最终的路由来。路由维护路由器之间通过周期性地发送协议报文来维护邻居信息。,距离矢量协议与链路状态协议,距离矢量路由协议RIPBGP链路状态路由协议OSPFIS-IS,衡量路由协议的主要指标,协议计算的正确性协议使用的算法能够计算出最优的路由，且正确无自环。路由收敛速度当网络的拓扑结构发生变化之后，能够迅速感知并及时更新相应的路由信息。协议占用系统开销协议自身的开销（内存、CPU、网络带宽）最小。协议自身的安全性协议自身不易受攻击，有安全机制。协议适用网络规模协议可以应用在何种拓扑结构和规模的网络中。,第4章.RIP路由原理及配置,RIP协议概述,RIP是Routing Information Protocol（路由信息协议）的简称。RIP是一种基于距离矢量（Distance-Vector）算法的路由协议。RIP协议适用于中小型网络，分为RIPv1和RIPv2。RIP支持水平分割、毒性逆转和触发更新等工作机制防止路由环路。RIP协议基于UDP传输，端口号520。,第5章.OSPF路由基础,概述,RIP路由协议存在无法避免的缺陷，多用于构建中小型网络；随着网络规模的日益扩大，RIP路由协议已经不能完全满足需求OSPF 路由协议解决了很多RIP路由协议无法解决的问题，因而得到了广泛应用。,什么是OSPF,OSPF（Open Shortest Path First，开放最短路径优先）是IETF 开发的基于链路状态的自治系统内部路由协议，目前针对IPv4 协议使用的是OSPF Version 2OSPF仅传播对端设备不具备的路由信息，网络收敛迅速，并有效避免了网络资源浪费OSPF直接工作于IP层之上，IP协议号为89OSPF以组播地址发送协议包,要增强网络安全性，网络设备需要具备控制某些访问或某些数据的能力。ACL包过滤是一种被广泛使用的网络安全技术。它使用ACL来实现数据识别，并决定是转发还是丢弃这些数据包。由ACL定义的报文匹配规则，还可以被其它需要对数据进行区分的场合引用。,第6章.用访问控制列表实现包过滤,ACL概述,ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的ACL可以应用于诸多方面包过滤防火墙功能 NAT（Network Address Translation，网络地址转换）QoS（Quality of Service，服务质量）的数据分类路由策略和过滤按需拨号,基于ACL的包过滤技术,对进出的数据包逐个过滤，丢弃或允许通过ACL应用于接口上，每个接口的出入双向分别过滤仅当数据包经过一个接口时，才能被此接口的此方向的ACL过滤,入方向过滤,入方向过滤,出方向过滤,出方向过滤,接口,接口,路由转发进程,入站包过滤工作流程,匹配第一条规则,数据包入站,匹配第二条规则,匹配最后一条规则,丢弃,通过,Yes,Permit,是否配置入方向ACL包过滤,No,Permit,Deny,Permit,Default Permit,Deny,Deny,Default Deny,数据包进入转发流程,No,No,No,检查默认规则设定,出站包过滤工作流程,匹配第一条规则,数据包到达出接口,匹配第二条规则,匹配最后一条规则,丢弃,通过,Yes,Permit,是否配置出方向ACL包过滤,No,Permit,Deny,Permit,Default Permit,Deny,Deny,Default Deny,数据包出站,No,No,No,检查默认规则设定,包过滤防火墙使用ACL过滤数据包；ACL还可用于NAT、QoS、路由策略、按需拨号等基本ACL根据源IP地址进行过滤；高级ACL根据IP地址、IP协议号、端口号等进行过滤ACL规则的匹配顺序会影响实际过滤结果ACL包过滤防火墙的配置位置应尽量避免不必要的流量进入网络,网络迅速发展，IPv4地址不敷使用IPv4地址分配不均私有地址用户需要访问InternetNAT提供私有地址到公有地址的转换,第7章.NAT网络地址转换,公有地址和私有地址,公司A10.0.0.0/8,公司B10.0.0.0/8,公司C10.0.0.0/8,私有地址范围：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255,Internet,任何组织都可以任意使用私有地址空间私有地址在Internet上无法路由如果采用私有地址的网络需要访问Internet，必须在出口处部署NAT设备,NAT组网和常用术语,私网,公网,10.0.0.1,HostA,10.0.0.254/24,198.76.28.1/24,HostB,10.0.0.2,Internet,Server,198.76.29.4/24,地址池198.76.28.11198.76.28.12198.76.28.20,Internet,NAT设备,防火墙的概念,防火墙，是指在两个网络之间加强访问控制的一整套装置。是用来在一个可信网络（如内部网）与一个不可信网络（如外部网）间起保护作用的一整套装置，以致在内部网（可信的）和外部网（不可信的，如Internet）之间的界面上构造一个保护层，并强制所有的访问或是连接都必须经过这一保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。,防火墙也是一部计算机，它的位置一般是在企业内外和互联网之间，也就是在企业内网的出口和入口出布置。,防火墙的部署位置,防火墙的分类,硬件防火墙这里说的硬件防火墙是指“所谓的硬件防火墙”。目前市场上大多数低端防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。,芯片级防火墙,芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。,常见的防火墙品牌，对比,CISCO天融信（天融信 NGFW 4000）华为防火墙联想（网御UTM)JUNINPER网络设备厂家系列,防火墙按性能参数,吞吐 按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。防火墙通常位于网络边界，选择防火墙要考虑避免带宽瓶颈；主要是指防火的通道带宽(Bandwidth)，防火墙中成为“吞吐率”。通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代理所产生的延时也越小，对整个网络通信性能的影响也就越小。每秒新建连接最大连接数接口数,防火墙并非万能，他无法完成源于内部的攻击，不通过防火墙的连接，新的攻击手段，并且不能防范病毒。防火墙不能防止通向站点的后门；防火墙一般不提供对内的保护；防火墙无法防范数据驱动性的攻击；本身的