路由器基础介绍.ppt

路由器相关知识,培训时间,培训内容,1、路由器介绍2、路由器工作流程3、TCP/IP编址与子网划分4、路由协议简述5、访问控制列表（ACL)6、网络地址转换（NAT）,什么是路由器？,所谓路由就是指通过相互连接的网络，把信息从源地点传输到目标地点的活动，因此，路由可以理解为选路。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。,路由器介绍,路由器介绍,路由器的组成,路由器介绍,CPU：中央处理单元，和计算机一样，它是路由器的控制和运算部件。RAM/DRAM：内存(Random Access Memory/Dynamic Random Access Memory)是路由器主要的存储部件。RAM也叫做工作存储器，包含动态的配置信息。用于存储临时的运算结果。如路由表、ARP表、快速交换缓存、缓冲数据包、数据队列、当前配置文件。Flash Memory：可擦除、可编程的ROM，用于存放路由器的IOS，Flash的可擦除特性允许更新、升级IOS而不用更换路由器内部的芯片。路由器断电后，Flash的内容不会丢失。Flash容量较大时，就可以存放多个版本IOS。,路由器的主要部件,路由器介绍,NVRAM：非易失性RAM(nonvolatile RAM)，用于存放路由器的配置文件，路由器断电后，NVRAM中的内容仍然保持。NVRAM 包含的是配置文件的备份。ROM：只读存储器，存储了路由器的开机诊断程序、引导程序和特殊版本的IOS软件(用于诊断等有限用途)，ROM中软件升级需要更换芯片。接口（Interface），用于网络连接，路由器就是通过这些接口和不同的网络进行连接的。,路由器介绍,路由器的功能：网络层属于OSI中的第三层，从它的名字可以看出，它解决的是网络与网络之间，即网际的通信问题，而不是同一网段内部的事。网络层的主要功能即是提供路由，即选择到达目标主机的最佳路径，并沿该路径传送数据包。除此之外，网络层还要能够消除网络拥挤，具有流量控制和拥挤控制的能力。路由器是一种典型的网络层设备。,路由器,路由器,路由器的工作流程,Internet是由众多相对独立的子网连接起来的互联网络，各子网内部又由许多主机组成。子网内部主机间的通信按照链路层协议进行；子网之间的通信则要通过路由器实现。传统上路由器工作于网络7层协议的第三层，其主要任务是接收来自一个网络接口的分组，根据其中所含的目的地址，决定转发到哪一个下一个目的地址（可能是路由器也可能就是目的主机），并决定从哪个网络接口转发出去。这是路由器的最基本功能分组转发功能。为了维护和使用路由器，路由器还需要有配置或者说控制功能。简单地说，路由器的主要工作是:(1)路径判断，使用一定的路由算法选择合适路径；(2)转发。,路由器的工作流程,在收到任何一个数据包后，首先将该数据包的第二层信息去掉(拆包)，查看第三层信息；然后，根据路由表确定数据包的路由；再检查安全访问表；若被通过，则再进行第二层信息封装（打包）；最后将该数据包转发。如果在路由表中查不到对应网络层地址的网络。则路由器向源地址的站点返回一个信息，并把这个数据包丢掉。1接收帧，并分解IP数据包 2IP包头合法性验证 3IP数据包选项处理 4IP数据包本地提交和转发 5转发寻径 6转发验证 7TTL处理 8数据包分段 9链路层寻址,路由器工作流程,IP,ETH,PPP,以太口,串口,IP,PPP,ETH,串口,以太口,协议封装,路由选择协议转换,路由器,路由器,WAN,传送,拆包,LAN1,LAN2,接收,发送,工作过程,TCP/IP编址与子网划分,TCP/IP编址原则 在TCP/IP中的每个逻辑IP地址长度为32位，每一位的值只能是0或1，它采用二进制进行编址。我们采用带点十进制数表示逻辑地址。连接到TCP/IP环境中的主机必须有唯一的TCP/IP地址。主机：一台主机就是这样一些设备，它有一个网络接口连接到一个网络。例如：带有NIC的计算机、路由器、网络打印机。如果计算机有两个NIC，我们认为这是两台主机。TCP/IP地址分为两部分:(1)主机所在的网络，通常称为网络标识(Net ID);(2)实际的主机地址(主机表示)。,TCP/IP编址与子网划分,地址的类别 在TCP/IP中定义了5类地址。1.A类地址 2.B类地址（128.0.Y.Z191.255.Y.Z)3.C类地址(192.0.0.Z233.255.255.Z)45.D类和E类地址 最后两类用于特殊的目的。D类范围：，这类地址要被用于组播，组播是一种将单个数据包发送给多个主机的方法。注:这个地址不是一个主机地址 E类范围：，这是一个用于实验的地址范围，并不用于实际的网络.,TCP/IP编址与子网划分,内部地址(私用地址)IP地址范围内有一些未被InterNic指定，这些地址可分配给未连接到Internet的主机使用，这些主机如果需要访问Internet,可使用网络代理(proxy)服务器连接到公共网络上。它们是：A类：B类：C类：,TCP/IP编址与子网划分,子网掩码 一个子网掩码是一个二进制数，用于对TCP/IP地址进行特殊的运算，以便从主机标识中确定网络标识，屏蔽主机地址，获得网络地址，每个主机都需要一个子网掩码。缺省子网掩码：A类：B类：255.255.0.0 C类：子网掩码的斜杠表示法：A类：255.0.0.0/8 B类：255.255.0.0/16 C类：255.255.255.0/24 斜杠表示的整数，就是所有1的个数 注意：子网掩码是连续的0，1组合。,TCP/IP编址与子网划分,TCP/IP编址与子网划分,子网划分：在IP地址的分配过程中使用了把部分主机位用作网络位的方案，叫做子网划分。划分子网的好处：1)充分利用IP地址 2)方便管理，网络管理者有时需要分割网络,尤其是大型网络，使其成为较小的网络，减小广播域.,17,TCP/IP编址与子网划分,子网地址 子网地址包括一个网络号、一个网络内的子网号和一个子网内的主机号码三部分，其中子网号和主机号是网络管理员按需要分配的。子网划分前后IP地址结构：,TCP/IP编址与子网划分,子网和主机的计算公式 1.计算用于标示子网的位组合公式：2N-2(其中N用于标示子网的位数)标示子网的位组合全0和全1（全0子网、广播子网），对于一些网络设备可能出现问题，所以剔除这两种组合。2.计算用于标示主机的位组合公式：2N-2(其中N是用于标示主机的位数)当主机位为全0时，则此时的IP地址相当于只是标示了一个网络的地址；当主机位为全1时，则此时的IP地址相当于是一个广播地址,TCP/IP编址与子网划分,划分子网的依据1.共有多少个单独的网络2.每个单独的网络中所需最大数目的主机是多少,路由协议,职责不同交换机：连通子网内的主机，联通距离近，一般在园区内。路由器：连通不同的子网，联通距离远，全球各地工作的位置不同交换机：局域网（子网内）路由器：局域网的边界和广域网地图不同：MAC地址表和路由表处理速度不同：交换机快，路由器慢,路由器与交换机区别,静态路由由网络管理员在路由器上手工添加路由信息来实现路由,动态路由根据网络结构或流量的变化，路由协议会自动调整路由信息来实现路由分为距离矢量路由协议，如；链路状态路由协议，如OSPF，ISIS,静态路由和动态路由,路由协议,静态路由配置,注意：只有下一跳所属的的接口是点对点（PPP、HDLC）的接口时，才可以填写，否则必须填写。,Router ip route-static ip-address mask|masklen interface-type interface-name|nexthop-address preference value reject|blackhole,静态路由的配置命令:,例如：ip ip ip route-static 129.1.0.0 16 Serial 2,静态路由配置示例,E0,RT B,S0,RT A,S0,在路由器 RT A上配置：ip route-static 129.1.0.0 255.255.0.0 10.0.0.2 ip route-static 129.1.0.0 16 10.0.0.2 ip route-static 129.1.0.0 16 s0,RT A,S0,S0,RT B,Network N,Public Network,在路由器 RT A上配置：ip route-static 0.0.0.0,Internet 上 大约99.99%的路由器上都存在一条缺省路由!缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。,缺省路由配置示例,路由自环,在路由器 RT A上配置：ip,“路由自环”对网络的危害极大，应尽量避免。,在路由器 RT B上配置：ip,RT A,S0,S0,RT B,Network N,Public Network,动态路由协议,动态路由协议分类,距离矢量算法定义：相邻的路由器之间互相交换路由表，并进行矢量叠加，最后知道整个路由表。特点：管理简单，收敛速度慢，报文量大，网络开销大，易产生回路。链路状态算法定义：路由器分成区域，收集区域内所有路由器的链路状态信息，再生成网络拓扑结构，路由器再根据拓扑结构计算路由。特点：没有环路，网络震荡时收敛快，网络流量小,28,距离矢量路由协议原理,距离矢量协议拓朴变化,拓朴变化引起路由表的更新,更新路由表,向路由器A传送更新的路由表,更新路由表,A,B,链路状态路由协议算法,(一）网络的拓朴结构,（四）每台路由器分别以自己为根节点计算最小生成树,（三）由链路状态数据库得到的带权有向图,C,A,B,D,2,3,5,RTC,RTD,RTB,RTA,1,动态路由器协议简介,RIP(Routing Information Protocol)：采用距离矢量算法。早期的路由协议，配置简单。用HOP计算路由的花费。最大支持直径为15个路由器的网络。OSPF(Open Shortest Path First)：采用链路状态算法。网络流量小，收敛速度快。没有路由环路。缺点是复杂。中大型网络使用IS-IS(Intermediate System to Intermediate System)：采用链路状态算法。BGP(Border Gateway Protocol)：自治系统间的路由协议。基本功能是在自治系统间无环路的交换路由信息。,32,直连路由,33,路由表更新过程（一）,路由表更新过程（二）,路由环路,距离矢量环路现象,路由环路解决办法,方法一：定义最大路由权值 方法二：水平分割 方法三：毒性逆转 方法四：抑制时间 方法五：触发更新,方法一：定义最大路由权值,方法二：水平分割,水平分割（split horizon）是一种避免路由环的出现和加快路由汇聚的技术。由于路由器可能收到它自己发送的路由信息，而这种信息是无用的，水平分割技术不反向通告任何从终端收到的路由更新信息，而只通告那些不会由于计数到无穷而清除的路由。水平分割法的规则和原理是：路由器从某个接口接收到的更新信息不允许再从这个接口发回去。,方法三：毒性逆转,毒性逆转（poison reverse）：在基于路由信息协议的网络中，当一条路径信息变为无效之后，路由器并不立即将它从路由表中删除，而是用16，即不可达的度量值将它广播出去。这样虽然增加了路由表的大小，但对消除路由循环很有帮助，它可以立即清除相邻路由器之间的任何环路。,方法四：抑制时间,抑制时间后更新,抑制时间后更新,方法五：触发更新,RIP协议概述,RIP最多支持以跳数为衡量标准，最多15跳。RIP协议适用于中小型网络，有RIP-1和RIP-2。,RIP协议配置命令,启动RIP协议，进入RIP协议配置视图 Router rip在指定的网络上使能RIP Router-rip network network-number|all,指定接口版本（接口视图下）rip version 1rip version 2broadcast|multicast配置RIP-2路由聚合Router-rip summary设置水平分割Router-Serial 0rip split-horizon,RIP：实例一,RIP：实例二,显示RIP协议配置信息,Routershow rip RIP is turning on checkzero is on default-cost:16 no peer network:summary is on preference:100,OSPF协议概述,可适应大规模网络路由变化收敛速度快无路由自环支持变长子网掩码VLSM支持等值路由支持区域划分提供路由分级管理支持验证支持以组播地址发送协议报文,OSPF协议的一些基本概念,Router ID一个32bit的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一。协议号OSPF的协议号是89。,OSPF的五种协议报文,HELLO报文 用来发现及维持邻居关系，选举DR、BDR。DD报文 用来描述本地LSDB的情况。LSR报文向对端请求本端没有的或者对端更新的LSA。LSU报文向对端路由器发送所需的LSA。LSAck报文收到LSU之后，进行确认。,OSPF划分区域,OSPF协议的基本配置,配置路由器的Router IDRouterrouter启动OSPF协议Router ospf process-id 配置OSPF区域Router-ospf-1area area-id在指定网段使能ospfRouter-ospf-1-area-0.0.0.0 network ip-address wildcard-mask,OSPF 实例,区域2,区域0,区域1,ospf 1,Interface ethetnet 0/0,ip addr,interface serial 0/0,link-protocol ppp,ip addr,路由器 A,ospf 1,Interface ethetnet 0/0,ip addr,interface serial 0/0,link-protocol ppp,ip addr,路由器 B,S,0/0,E0/0,路由器,A,路由器,B,S,0/0,E0/0,Area 0Area 1,Area 0Area 2,路由的花费（Metric）,不同的动态路由协议会选择以上的一种或几种因素来计算花 费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间 的路由花费值没有可比性，也不存在换算关系。,路由优先级（Preference）,从优先级最高的协议获取的路由最先被优先选择加入路由表中,访问控制列表（ACL）,访问控制列表的概述：访问控制列表是应用在路由器接口的指令列表（即规则）。访问控制列表的工作原理：ACL使用包过滤技术，在路由器上读取第3层及第4层包头中的信息，如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。只有在数据包与第一个判断条件不匹配时，他才交给ACL中的下一个条件判断语句进行比较；在与某条语句匹配后，就结束比较过程，不再检查以后的其他条件判断语句；如果不与任一语句匹配，则它必须与最后隐含的拒绝匹配。ACL分为两种基本类型：标准访问控制列表：检查被路有的数据包的源地址。其结果基于原网络/子网/主机IP地址来决定是允许还是拒绝转发数据包。它使用199之间的数字作文表号。扩展访问控制列表：对数据包的源地址与目标地址均进行检查。它也能检查特定的协议，端口号以及其他参数。它使用100199之间的数字作为表号。,访问控制列表（ACL）,ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。,ACL的作用,访问控制列表（ACL）,ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。,访问控制列表（ACL）,访问控制列表（ACL）,定义：Router（config）#access-list list_num deny|permit source_id source_maskList_num：标明访问控制列表的唯一编号，规定199；Source_id：Source_id源IP地址；Source_mask：Source_mask通配符掩码（0检查，1忽略）；单机：如 172.16.1.11（主机地址）0.0.0.0所有：如 0.0.0.0（任何地址）255.255.255.255any 应用：Router（config）#interface type portRouter（config-if）#ip access-group list_num in|out,标准ACL,访问控制列表（ACL）,扩展ACL是对标准ACL功能上的扩展，其不仅可以基于源和目标IP地址数据包的测试，还可基于协议类型和TCP端口号进行数据包的测试，从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况指定源和目标地址的包过滤指定协议类型的包过滤指定传输层端口号的包过滤,扩展ACL,访问控制列表（ACL）,定义：Router（config）#access-list list_num deny|permit protocol source_id source_maskdestination_id destination_mask operator operandList_num：100199；Protocol：TCP、UDP、IP、ICMP等；Source_id source_mask：被检测的源IP地址与通配符掩码；Destination_id destination_mask：被检测的目的IP地址与通配符掩码；Operator operand：Operator（eq、neq、lt、gt、range）；Operand（TCP/UDP的应用端口号）；应用：Router（config）#interface type portRouter（config-if）#ip access-group list_num in|out,扩展ACL,网络地址转换（NAT）,网络地址转换（NAT），是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的 IP 地址。这样，通过在内部使用非注册的 IP 地址，并将它们转换为一小部分外部注册的 IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。,NAT分为三种类型：静态NAT（staticNAT）、动态NAT池（pooledNAT）和端口复用NAT（PAT）,NAT概念,网络地址转换（NAT）,静态转换 指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。,静态地址转换 Router（config）#ip nat inside source static local_ip global _ip local_ip：内网的IP地址 global _ip：公网的IP地址,静态转换配置实例,E0,S0,第一步，设置外部端口。第二步，设置内部端口。第三步，在内部本地与内部合法地址之间建立静态地址转换。ip nat inside source static 内部本地地址 外部合法地址。,RTA,静态转换配置实例,配置命令 在全局配置模式下：RTA配置 interface serial 0 ip address 202.102.112.1 255.255.255.252 ip nat outside interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip nat inside source static 192.168.0.2 202.102.112.18/将内部网络地址转换为合法IP地址202.102.112.2,网络地址转换（NAT）,动态转换 将内部网络的私有IP地址转换为公用IP地址时，公网IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。,动态地址转换Router（config）#ip nat pool pool_name start_ip end_ip netmask netmaskRouter（config）#access-list list_num permit source_ip source_maskRouter（config）#ip nat inside source list list_num pool pool_name,动态转换实例,E0,S0,RTA,第一步：设置外部端口。第二步，设置内部端口。第三步：定义合法IP地址池，ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码第四步，定义内部网络中允许访问Internet的访问列表，access-list 标号 permit 源地址 通配符（其中，标号为199之间的整数）第五步：实现网络地址转换，ip nat inside source list 访问列表标号 pool 内部合法地址池名字,动态转换实例,配置命令 在全局配置模式下：RTA配置 interface serial 0 ip address 202.102.112.2 255.255.255.0 ip nat outside interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip nat pool net 202.102.112.1 202.102.112.254 netmask 255.255.255.0 access-list 10 permit 192.168.0.0 0.0.0.255 ip nat inside source list 10 pool net,网络地址转换（NAT）,端口复用 改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。,端口地址转换Router（config）#ip nat pool pool_name start_ip end_ip netmask netmaskRouter（config）#access-list list_num permit source_ip source_maskRouter（config）#ip nat inside source list list_num pool pool_name overload,端口复用NAT实例,RTA,第一步：设置外部端口。第二步，设置内部端口。第三步：定义合法IP地址池，ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码第四步，定义内部网络中允许访问Internet的访问列表，access-list 标号 permit 源地址 通配符（其中，标号为199之间的整数）第五步：设置复用动态地址转换，ip nat inside source list 访问列表号 pool 内部合法地址池名字overload,E0,S0,端口复用NAT实例,配置命令 在全局配置模式下：RTA配置 interface serial 0 ip address 202.102.112.2 255.255.255.252 ip nat outside interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip nat pool net 202.102.112.1 netmask 255.255.255.0 access-list 10 permit 192.168.0.0 0.0.0.255 ip nat inside source list 10 pool net overload,谢谢！,