路由器原理及案例h3c.ppt

路由器原理及案例,主讲：赵三蕾,Page 2,课程目标,描述路由表的作用 配置静态路由 配置动态路由 配置ACL(访问控制列表) 配置NAT(网络地址转换) 完成路由器故障排查,学习完本课程，您应该能够：,Page 3,课程内容,路由器 静态路由及配置 动态路由 ACL访问控制 NAT技术 HSRP技术 路由器故障排查,Page 4,什么是路由器？,用于连接多个逻辑上分开的网络 工作在OSI模型中的第三层，即网络层 具有判断网络地址和选择路径的功能,Page 5,路由器的主要功能,网络互连，路由器支持各种局域网和广域网接口，主要用于互连局域网和广域网，实现不同网络互相通信； 数据处理，提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能； 网络管理，路由器提供包括配置管理、性能管理、容错管理和流量控制等功能。,Page 6,路由器的结构,从体系结构上看，路由器可以分为： 第一代单总线单CPU结构路由器； 第二代单总线从CPU结构路由器； 第三代单总线对称式多CPU结构路由器； 第四代多总线多CPU结构路由器； 第五代共享内存式结构路由器； 第六代交叉开关体系结构路由器和基于机群系统的路由器等多类；,Page 7,路由器的四个要素,输入端口：物理链路和输入包的进口处； 输出端口：在包发送到输出链路之前存储，可以 实现复杂的调度算法以支持优先级等 要求； 交换开关：目前使用最多的交换开关技术是总 线、交叉开关和共享存储器； 路由处理器：计算转发表实现路由协议，并运行 对路由器进行配置和管理的软件。,Page 8,路由器中的基本概念,路由表：路由选择就是通过路由算法确定到达目的地址的最佳路径。路由选择实现的算法是：路由器通过路由选择算法，建立并维护一个路由表； 端口地址：IP路由器为每一个端口配置一个明确的唯一的IP地址；（至少有两个端口） 网段：用来区分网路上的主机是否在同一网路区段内,在局域网中,每台电脑只能和自己同一网段的电脑互相通讯. 端口：分为物理端口和逻辑端口，此处指物理端口，连接网络硬件。,Page 9,什么是路由？,路由是把信息从源穿过网络传递到目的的行为，在路上，至少遇到一个中间节点。,Page 10,显示路由表信息,Routerdisplay ip routing-table Codes: C - connected, S - static, R - RIP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is 49 to network S* /0 1/0 via 49 S /8 1/0 via C /30 is directly connected, FastEthernet 1/1 C /32 is local host. S /15 1/0 via S /15 1/0 via S /22 1/0 via S /17 1/0 via ,Page 11,路由的分类,链路层协议发现的路由 开销小，配置简单，无需人工维护。只能发现本接口所属网段的路由。 手工配置静态路由 无开销，配置简单，需人工维护，适合简单拓朴结构的网络。 动态路由协议发现的路由 开销大，配置复杂，无需人工维护，适合复杂拓朴结构的网络。,Page 12,路由优先级,从优先级最高的协议获取的路由最先被优先选择加入路由表中。,RIP,OSPF, R0, R1,,R1,路由表,Page 13,路由优先级,路由协议优先级列表 路由协议 | 优先级 DIRECT | 0 STATIC | 1 eBGP | 20 IGRP | 100 OSPF | 110 RIP | 120 EGP | 140 iBGP | 200,Page 14,路由的花费,路由的花费表示到达这条路由所指的目的地址的代价，通常以下因素会影响到路由的花费值。 线路延迟、带宽、线路占有率、线路可信度、跳数、最大传输单元 静态路由的花费值为0。不同的动态路由协议会选择以上的一种或几种因素来计算花费值。该花费值只在同一种路由协议内有比较意义。不同的路由协议之间的路由花费值没有可比性，也不存在换算关系。,Page 15,课程内容,路由及路由表 静态路由及配置 动态路由 ACL访问控制 NAT技术 HSRP技术 路由器常见故障排查,Page 16,静态路由及配置,静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。,Page 17,静态路由配置示例,Page 18,静态路由及配置,system-view Routerinterface Ethernet 0/1 Router-Ethernet0/1port link-mode route Router-Ethernet0/1 ip address Router-Ethernet0/0quit,Page 19,静态路由及配置,Router interface Ethernet 0/0 Router-Ethernet0/0ip address 52 Router-Ethernet0/0quit Router ip route-static preference 60,Page 20,静态路由及配置,删除路由命令 Router undo ip route-static network mask 例如： Router undo ip route-static ,Page 21,缺省路由配置示例,Router A,,S0,,S0,Router B,Network N,Public Network,路由表中，缺省路由以目的网络为、子网掩码为的形式出现。 在路由器 Router A上配置： ip route-static ,Page 22,课程内容,路由器 静态路由及配置 动态路由 ACL访问控制 NAT技术 HSRP技术 路由器常见故障排查,Page 23,动态路由,动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。动态是路由协议软件重新计算、更新路由信息的意思。,Page 24,动态路由协议简介,动态路由协议的功能 计算路由，计算本地路由器到网络中其它网段的路由。 如何做到这一点 每台路由器将自己已知的路由相关信息发给相邻的路由器，由于大家都这样做，最终每台路由器都会收到网络中所有的路由信息然后运行某种算法，计算出最终的路由来（实际上需要计算的是该条路由的下一跳和花费）,Page 25,动态路由协议简介,路由器的通讯语言 每种路由协议都有自己的语言（相应的路由协议报文），如果两台路由器都实现了某种路由协议并已经启动该协议，则具备了相互通信的基础。 发送并接收路由信息 一台新加入的路由器应该主动把自己介绍给网段内的其它路由器。通过发送广播报文或发送给指定的路由器邻居来做到这一点，并接收其它路由器的路由信息。,Page 26,动态路由协议简介,监测相邻路由器的状况 为了能够观察到某台路由器突然失败（路由器本身故障或连接线路中断）这种异常情况，规定两台路由器之间的协议报文应该周期性地发送。,Page 27,动态路由协议在协议栈中的位置,Page 28,自治系统（）,自治系统（AS，autonomous system）是指在一个实体管辖下的所有IP网络和路由器的全体，它们对互联网执行共同的路由策略。,Page 29,动态路由协议的分类,内部网关协议（IGP）是指在一个自治系统内部所使用的一种路由协议。 距离-矢量（distance-vector ）路由协议 连接状态（link state）路由协议 外部网关协议（EGP）是指在不同的自治系统中交换路由信息的一种路由协议。,Page 30,动态路由协议的分类,距离矢量算法 RIP IGRP/EIGRP BGP 链路状态算法 OSPF IS-IS,Page 31,内部路由协议（）, / ,自治系统,自治系统,外部路由协议（）,Page 32,路由协议之间的互操作,每种路由协议只能发布和学习自己协议已知的路由 自己已知的路由是指：在某个接口上运行了该种路由协议，或者在路由表中的本路由协议发现的路由。 如果需要知道其它的路由，需要进行引入（ import-route ）操作 最经常使用的是引入静态路由和直接路由。有时也需要引入其它路由协议的路由。 引入路由的含义是指：在本路由器的路由表中查询，如果发现要引入的路由（如static），则作为自己已知的路由发布出去。,Page 33,衡量路由协议的一些性能指标,正确性 能够正确找到最优的路由，且无自环。 快收敛 当网络的拓朴结构发生变化之后，能够迅速在自治系统中作相应的路由改变。 低开销 协议自身的开销（内存、CPU、网络带宽）最小。 安全性 协议自身不易受攻击，有安全机制。 普适性 适应各种拓朴结构和规模的网络。,Page 34,现有路由协议的性能比较,综合性能,有路由环路问题,无路由环路问题,RIP1,RIP2,BGP,OSPF,IS-IS,Page 35,RIP协议,RIP是Routing Information Protocol（路由信息协议）的简称。 RIP路由协议是距离矢量路由协议的一个具体实现。 RIP协议适用于中小型网络，有RIP-1和RIP-2。 RIP-2使用组播（）发送，支持验证和VLSM。 RIP支持：水平分割、触发更新等方法防止路由环路。 。,Page 36,RIP协议,RIP通过广播UDP报文来交换路由信息，每30秒发送一次路由信息更新。RIP提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。如果到相同目标有二个不等速或不同带宽的路由器，但跳跃计数相同，则RIP认为两个路由是等距离的。RIP最多支持的跳数为15，即在源和目的网间所要经过的最多路由器的数目为15，跳数16表示不可达。,Page 37,RIP协议,RIP协议的局限性 RIP跳跃计数超过16就不可达，随着互连网的增长，使得RIP不适合在大型网络应用。 RIP采用跳跃计数作为度量值，过分简化的距离值可能使得路由选择表达不到最佳状态。 支持RIP的设备要从所有设备接收RIP更新向量，可能会使个别设备的配置错误影响到整个网络的配置。,Page 38,RIP协议,路由更新时间：30秒 路由无效时间：180秒 路由拒绝时间：180秒 路由清除时间：240秒,Page 39,RIP路由表的初始化,NET1,NET2,Request,Response,R1,R2,Page 40,RIP路由表的更新,路由更新,Response,Response,A,B,A,B,Page 41,RIP协议配置命令,启用RIP 2协议 Router rip 2 退出rip 2协议 Router-rip-2undo rip 2 Router Quit虽可改变盘符，但并未退出rip 2协议 Router-rip-2quit Router 在指定的网段上启用RIP Router-rip-2network ,Page 42,RIP协议配置举例,E0: /24,S0: /24,S0: /24,S1: /24,S0: /24,E0: /24,E0: /24,PPP,FR,RTA,RTC,RTB,Page 43,RTA(路由器名称): rtainterface ethernet 0/1 rta-Ethernet0/1ip address rta-Ethernet0/1quit rtainterface ethernet 0/0 rta-Ethernet0/0ip address 开启RIP协议进程 rta-Ethernet0/0quit RTArip RTArip 2 在指定的网络上启用RIP rta-rip-2network ,RIP协议配置举例-配置命令,Page 44,显示RIP协议配置信息,routerdisplay rip 2 Public VPN-instance name : RIP process : 2 RIP version : 1 Preference : 100 Checkzero : Enabled Default-cost : 0 Summary : Enabled Hostroutes : Enabled Maximum number of balanced paths : 8,Page 45,路由聚合:多条路由聚合成一条路由。 Routerrip 2 Router-rip-2undo summary Router-rip-2summary,路由聚合功能（命令）,Page 46,OSPF(开放式最短路径优先)协议,可适应大规模网络 路由变化收敛速度快 无路由自环 支持变长子网掩码VLSM 支持等值路由 支持区域划分 提供路由分级管理 支持验证 支持以组播地址发送协议报文,Page 47,OSPF协议,OSPF(Open Shortest Path First开放式最短路径优先协议)是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。,Page 48,OSPF协议与RIP协议区别,与RIP不同，OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。,Page 49,课程内容,路由及路由表 静态路由及配置 动态路由 ACL访问控制 NAT技术 HSRP技术 路由器故障排查,Page 50,ACL访问控制列表,基本原理： ACL（Access Control List）使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。,Page 51,ACL的作用,访问控制列表可以用于防火墙； 访问控制列表可以用于Qos（Quality of Service服务质量），对数据流量进行控制； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。,Page 52,访问控制列表的分类,按照访问控制列表的用途可以分为四类: 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 基于MAC的访问控制列表（mac-based acl）,Page 53,访问控制列表的标识,利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类,Page 54,基本访问控制列表,基本访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,Page 55,基本访问控制列表的配置,配置基本访问列表的命令格式如下： acl number acl-number match-order config | auto rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging fragment vpn-instance vpn-instanc-name ,怎样利用 IP 地址 和反掩码 wildcard-mask 来表示 一个网段?,Page 56,Router acl number 2001 Router-acl-basic-2001rule 10 permit source 55 Router-acl-basic-2001quit Routeracl number 3001 Router-acl-adv-3001rule 10 deny tcp destination-port eq 445 Router-acl-adv-3001rule 11 deny udp destination-port eq 445 Router-acl-adv-3001display acl 2001 Routerdisplay acl all Routerundo acl number 2001 Routerundo acl all,ACL的配置实例,Page 57,反掩码的使用,反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。,Page 58,高级访问控制列表,高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,Page 59,高级访问控制列表的配置,高级访问控制列表规则的配置命令： rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any soucre-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message |icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment vpn-instance vpn-instanc-name ,Page 60,Routeracl number 3001 Router-acl-adv-3001rule 10 deny tcp destination-port eq 445 Router-acl-adv-3001rule 11 deny udp destination-port eq 445,高级访问控制列表配置实例,Page 61,基于接口的访问控制列表,基于接口的访问控制列表的配置 acl number acl-number match-order config | auto rule permit | deny interface interface-name time-range time-name logging undo rule rule-id,Page 62,访问控制列表的显示,访问控制列表的显示与调试 display acl all | acl-number reset acl counter all | acl-number ,Page 63,课程内容,路由及路由表 静态路由及配置 动态路由 ACL访问控制 NAT技术 HSRP技术 路由器故障排查,Page 64,NAT (Network Address Translation ),地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。,Page 65,NAT (Network Address Translation ),基本网络地址转换（Basic NAT）是一种将一组 IP 地址映射到另一组IP 地址的技术，这对终端用户来说是透明的。 网络地址端口转换（NAPT）是一种将群体网络地址及其对应 TCP/UDP 端口翻译成单个网络地址及其对应 TCP/UDP 端口的方法。 NAT提供了一种机制，将只有私有地址