网络理论知识.doc

目 录网络的发展与应用1一、计算机网络发展的三个阶段1二、我国计算机网络的三个层次1网络互联基础2一、OSI 七层协议2二、TCP/IP 协议簇4三、TCP 连接的建立5交换机原理与应用7一、基本以太网7二、交换机原理与应用8三、三层交换的概念12路由器原理与应用13一、路由的基本概念13二、RIP 路由协议14三、OSPF 路由协议16四、访问控制列表17五、地址转换 NA T19常见广域网协议及特点21一、常用的广域网协议21二、PPP 协议21三、HDLC 协议22四、帧中继22PIX 防火墙特点与应用23一、PIX 防火墙的认识23二、防火墙的配置规则23三、PIX 防火墙的配置模式：23四、PIX 基本配置命令24说明：本文中以Cisco设备说明网络的发展与应用一、计算机网络发展的三个阶段1、研究阶段 (68 年84 年)主要特征：TCP/IP 协议的研制成功。Client/Server 工作方式的实现。实现了资源共享和分散控制等。2、运行阶段 (85 年92 年)主要特征：Internet 骨干网络的延生网络私有化的形成网络商业化的开始3、应用阶段 (92 年今)主要特征：网络发展的全球化网络运行的商业化网络应用的多样化二、我国计算机网络的三个层次1、国家经济信息化的基本通信网，CHINAP AC：1991 建设，分组交换网。CHINADDN：1994 建设，数字专用网金桥工程：1997 建设，以光纤、卫星、微波、无线移动等多种方式，形成天地一体的网络结构。2、依托此平台开发的各种专业网络和应用网络；金卡工程：全民信用卡系统 电子货币工程。金企工程：企业生产与流通信息系统，为国家宏观调控提供科学依据。金农工程：农业综合管理及信息服务系统，以县城为点的农业基本情况数据库。金关工程：国家对外经济贸易信息网。金税工程：增值税专用发票计算机稽核系统工程。企业网络：企业总部与分部组成的异地独立网络。教育科研网：CERNET 连接全国各大高校。3、目前中小型企业网络的应用情况企事业都建设了自己的局域网，而且越来越多的局域网和广域网相联。网络硬件水平不断提高，促进了网络技术的应用，网络管理人才的需求加大。网络管理员：以网络互联技术为主的网络人才。操作系统管理员：以管理操作系统为主的网络人才。线路维护人员：负责网络运行的维修人员。网络技术支持：负责公司网络产品的技术的咨询和售后服务。网络互联基础一、OSI 七层协议OSI(Open System interconnection)开放系统互连参考模型ISO(International Standards Organization)国际标准化组织1、物理层机械性能：接口的型状，尺寸的大小，引脚的数目和排列方式等。电气性能：接口规定信号的电压、电流、阻抗、波形、速率及平衡特性等。工程规范：接口引脚的意义、特性、标准。工作方式：确定数据位流的传输方式，如：单工、半双工或全双工。物理层协议有：美国电子工业协会(EIA)的 RS232，RS422，RS423，RS485 等；国际电报电话咨询委员会(CCITT)的 X.25、X.21 等；物理层的数据单位是位(BIT)，典型设备是集线器 HUB。2、链路层链路层屏蔽传输介质的物理特征，使数据可靠传送。内容包括介质访问控制、连接控制、顺序控制、流量控制、差错控制和仲裁协议等。链路层协议有：协议有面向字符的通讯协议(PPP)和面向位的通讯协议(HDLC)。仲裁协议：802.3、802.4、802.5，即：CSMA/CD(Carrier Sense Multiple Access with Collision Detection)、Token Bus、Token Ring链路层数据单位是帧，实现对 MAC 地址的访问，典型设备是交换机 Switch。3、网络层网络层管理连接方式和路由选择。连接方式：虚电路(Virtual Circuits)和数据报(Datagram)服务。虚电路是面向连接的(Connection-Oriented)，数据通讯一次路由，通过会话建立的一条通路。数据报是非连接的(Connectionless-Oriented)，每个数据报都有路由能力。网络层的数据单位是包，使用的是 IP 地址，典型设备是路由器 Router。这一层可以进行流量控制，但流量控制更多的是使用第二层或第四层。4、传输层提供端到端的服务。可以实现流量控制、负载均衡。传输层信息包含端口、控制字和校验和。传输层协议主要是 TCP 和 UDP。传输层位于 OSI 的第四层，这层使用的设备是主机本身。5、会话层会话层主要内容是通过会话进行身份验证、会话管理和确定通讯方式。一旦建立连接，会话层的任务就是管理会话。6、表示层表示层主要是解释通讯数据的意义， 如代码转换、 格式变换等， 使不同的终端可以表示。还包括加密与解密、压缩与解压缩等。7、应用层应用层应该是直接面向用户的程序或服务，包括系统程序和用户程序，例如 www、FTP、DNS、POP3 和 SMTP 等都是应用层服务。数据在发送时是数据从应用层至物理层的一个打包的过程，接收时是数据从物理层至应用层的一个解包的过程，从功能角度可分为三组，1、2 层解决网络信道问题，3、4 层解决传输问题，5、6、7层处理对应用进程的访问。从控制角度可分为二组，第 1、2、3 层是通信子网层，第 4、5、6、7 层是主机控制层。二、TCP/IP 协议簇TCP/IP(Transmission Control Protocol/Internet Protocol)已成为一个事实上的工业标准。TCP/IP 是一组协议的代名词，它还包括许多协议，组成了 TCP/IP 协议簇。TCP/IP 协议簇分为四层，IP 位于协议簇的第二层(对应 OSI 的第三层)，TCP 位于协议簇的第三层(对应 OSI 的第四层)。TCP 和 IP 是 TCP/IP 协议簇的中间两层， 是整个协议簇的核心， 起到了承上启下的作用。1、接口层TCP/IP 的最低层是接口层，常见的接口层协议有：Ethernet 802.3、T oken Ring 802.5、X.25、Frame reley、HDLC、PPP 等。2、网络层网络层包括：IP(Internet Protocol)协议、ICMP(Internet Control Message Protocol)控制报文协议、ARP(Address Resolution Protocol)地址转换协议、RARP(Reverse ARP)反向地址转换协议。IP 是网络层的核心，通过路由选择将下一跳 IP 封装后交给接口层。IP 数据报是无连接服务。ICMP 是网络层的补充，可以回送报文。用来检测网络是否通畅。Ping 命令就是发送 ICMP 的 echo 包，通过回送的 echo relay 进行网络测试。ARP 是正向地址解析协议，通过已知的 IP，寻找对应主机的 MAC 地址。RARP 是反向地址解析协议，通过 MAC 地址确定 IP 地址。比如无盘工作站和 DHCP服务。3、传输层传输层协议主要是：传输控制协议 TCP(Transmission Control Protocol)和用户数据报协议 UDP(User Datagram rotocol)。TCP 是面向连接的通信协议，通过三次握手建立连接，通讯时完成时要拆除连接，由于 TCP是面向连接的所以只能用于点对点的通讯。TCP 提供的是一种可靠的数据流服务，采用 带重传的肯定确认 技术来实现传输的可靠性。TCP 还采用一种称为 滑动窗口 的方式进行流量控制，所谓窗口实际表示接收能力，用以限制发送方的发送速度。UDP 是面向无连接的通讯协议，UDP 数据包括目的端口号和源端口号信息，由于通讯不需要连接，所以可以实现广播发送。UDP 通讯时不需要接收方确认，属于不可靠的传输，可能会出丢包现象，实际应用中要求在程序员编程验证。4、应用层应用层一般是面向用户的服务。如 FTP、TELNET、DNS、SMTP、POP3。FTP(File Transmision Protocol)是文件传输协议，一般上传下载用 FTP 服务，数据端口是 20H，控制端口是 21H。Telnet 服务是用户远程登录服务， 使用 23H 端口，使用明码传送， 保密性差、 简单方便。DNS(Domain Name Service)是域名解析服务，提供域名到 IP 地址之间的转换。SMTP(Simple Mail Transfer Protocol)是简单邮件传输协议，用来控制信件的发送、中转。POP3(Post Office Protocol 3)是邮局协议第 3 版本，用于接收邮件。数据格式：数据帧： 帧头IP 数据包帧尾 (帧头包括源和目标主机 MAC 地址及类型,帧尾是校验字)IP 数据包： IP 头部TCP 数据信息 (IP 头包括源和目标主机 IP 地址、 类型、 生存期等)IP 数据信息：TCP 头部+实际数据 (TCP 头包括源和目标主机端口号、顺序号、确认号、校验字等)三、TCP 连接的建立1、TCP 连接通过三次握手完成。client 首先请求连接，发一个 SYN 包；Server 收到后回应 SYN_ACK 包；Client 收到后再发 ACK 包。即Client ServerSYN - - 收 收established 表示建立状态，当某端发出数据包后收到了回应则进入 established 状态。在 TCP/IP 连接时， 如果两端都是 established 状态， 则握手成功， 否则是无连接或半联接状态。2、套接字 Socket套接字 Socket 由协议、IP 地址和端口号组成， 套接字表示一路通讯，一般是一个服务，如www 服务是 TCP 的 80 端口，T elnet 是 TCP 的 23 端口。四、IP 地址划分1、IP 地址分类IP 地址有四个段，包括网络标识和主机标识两部分：netid+hostid。IP 地址应用分为 A、B、C 三类，D、E 类是保留和专用的。Class A 0* xxxxxxxx xxxxxxxx xxxxxxxxClass B 10* * xxxxxxxx xxxxxxxxClass C 110* * * xxxxxxxxClass D 1110* * * *Class E 1111* * * *2、地址区间址址类 地址区间 网络数 主机数A 类 54 27-2=126 224-2=16777214B 类 54 214-2=16382 216-2=65534C 类 54 221-2=2097150 28-2=254D 类 55 228=268435456 0E 类 55 228=268435456 03、特殊地址主机地址全 0 表示为一个网络地址。主机地址全 1 表示为对应网络的广播地址。全 0 的 IP 地址：，表示本机地址，只在启动过程时有效。全 1 的 IP 地址 55，表示本地广播(有的软件不支持)。私有地址： - 55 - 55 - 55 网络是回环网络 loopback，用于本机测试。例如：ping 是测试本机网卡是否工作正常。4、子网掩码子网掩码用来区分网络地址和主机地址，标准的子网掩码为：A 类： 54 netmask：B 类：54 netmask：C 类：54 netmask：子网掩码和 IP 地址的 与 运算得出对应的网络地址。如果将子网掩码 1 的位数增加则网络地址数增加，形成子网。相当于网络的分隔。如果将子网掩码 1 的位数减小则网络地址数减少，形成超网。相当于网络的聚合。交换机原理与应用一、基本以太网1、以太网标准：以太网是 Ethernet 的意思，过去使用的是十兆标准，现在是百兆到桌面，千兆做干线。常见的标准有：10BASE-2 细缆以太网10BASE-5 粗缆以太网10BASE-T 星型以太网100BASE-T 快速以太网1000BASE-T 千兆以太网2、接线标准星型以太网采用双绞线连接， 双绞线是 8 芯， 分四组， 两芯一组绞在一起， 故称双绞线。8 芯双绞线只用其中 4 芯：1、2、3、6。常见接线方式有两种：568B 接线规范： 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕1 2 3 4 5 6 7 8568A 接线规范： 白绿 绿 白橙 蓝 白蓝 橙 白棕 棕1 2 3 4 5 6 7 8将 568B 的 1 和 3 对调，2 和 6 对调，就得到 568A。3、接线方法两边采用相同的接线方式叫做平接，两边采用不同的接线方式叫扭接。不同的设备之间连接，使用平接线；相同的设备连接使用扭接线。电脑、路由器与集线器、交换机连接时使用平接线。这是因为网线中的 4 条线，一对是输入，一对是输出，输入应该与输出对应。如果将 1 和 3 连接，2 和 4 连接，相当于自己的输出送给自己的输入。这样可以使网卡进入工作状态，阻止空接口关闭，而影响有些程序的运行。二、交换机原理与应用1、冲突域和广播域交换机是根据网桥的原理发展起来的，学习交换机先认识两个概念：(1)冲突域：冲突域是数据必然发送到的区域。HUB 是无智能的信号驱动器，有入必出，整个由 HUB 组成的网络是一个冲突域。交换机的一个接口下的网络是一个冲突域，所以交换机可以隔离冲突域。(2)广播域：广播数据时可以发送到的区域是一个广播域。交换机和集线器对广播帧是透明的，所以用交换机和 HUB 组成的网络是一个广播域。路由器的一个接口下的网络是一个广播域。所以路由器可以隔离广播域。2、交换机原理(1)端口地址表端口地址表记录了端口下包含主机的 MAC 地址。 端口地址表是交换机上电后自动建立的，保存在 RAM 中，并且自动维护。交换机隔离广播域的原理是根据其端口地址表和转发决策决定的。(2)转发决策交换机的转发决策有三种操作：丢弃、转发和扩散。丢弃：当本端口下的主机访问已知本端口下的主机时丢弃。转发：当某端口下的主机访问已知某端口下的主机时转发。扩散：当某端口下的主机访问未知端口下的主机时要扩散。每个操作都要记录下发包端的 MAC 地址，以备其它主机的访问。(3)成存期：生成期是端口地址列表中表项的寿命。每个表项在建立后开始进行倒记时，每次发送数据都要刷新记时。 对于长期不发送数据主机， 其 MAC 地址的表项在生成其结束时删除。所以端口地地表记录的总是最活动的主机的 MAC 地址。3、交换网络中的环以太网是总线或星型结构，不能构成环路，否则会产两个严重后果：(1)产生广播风暴，造成网络堵塞。(2)克隆帧会在各个口出现，造成地址学习(记录帧源地址)混乱。解决环路问题方案:(1)网络在设计时，人为的避免产生环路。(2)使用生成树 STP(Spanning Tree Protocol)功能，将有环的网络剪成无环网络。STP 被 IEEE802 规范为 802.1d 标准。生成树协议术语(1)网桥协议数据单元：BPDU(Bridge Protocol Data Unit)BPDU 是生成树协议交换机间通讯的数据单元，用于确定角色。(2)网桥号：Bridge ID交换机的标识号，它由优先级和 MAC 地址组成，优先级 16 位，MAC 地址 48 位。(3)根网桥：Root bridge根网桥定义为网桥号最小的交换机，根网桥所有的端口都不会阻塞。(4)根端口：Root port非根网桥到根网桥累计路径花费最小的端口，负责本网桥与根网桥通讯的接口。(5)指定网桥：Designated bridge网络中到根网桥累计路径花费最小交换机，负责收发本网段数据。(6)指定端口：Designated port网络中到根网桥累计路径花费最小的交换机端口，根网桥每个端口都是指定端口。(7)非指定端口：NonDesignated port余下的端口是非指定端口，它们不参与数据的转发，也就是被阻塞的端口。(根端口是从非根网桥选出，指定端口是网段中选出)。生成树协议的状态：生成树协议工作时，所有端口都要经过一个端口状态的建立过程。生成树协议通过 BPDU 广播，确定各交换机及其端口的工作状态和角色，交换机上的端口状态分别为：关闭、阻塞、侦听、学习和转发状态。(1)关闭状态：Disabled 不收发任何报文，当接口空连接或人为关闭时处于关闭状态。(2)阻塞状态： Blocking 在机器刚启动时， 端口是阻塞状态(20 秒)， 但接收 BPDU 信息。(3)侦听状态：listening 不接收用户数据(15 秒)，收发 BPDU，确定网桥及接口角色。(4)学习状态：learning 不接收用户数据(15 秒)，收发 BPDU，进行地址学习。(5)转发状态：Forwarding 开始收发用户数据，继续收发 BPDU 和地址学习,维护 STP。4、关于 VLANVLAN(Virtual Lan)是虚拟逻辑网络，交换机通过 VLAN 设置，可以划分为多个逻辑网络，从而隔离广播域。具有三层模块的交换机可以实现 VLAN 间的路由。(1)端口模式交换机端口有两种模式，access 和 trunk。access 口用于与计算机相连，而交换机之间的连接，应该是 trunk。交换机端口默认 VLAN 是 VLAN1，工作在 access 模式。Access 口收发数据时， 不含 VLAN 标识。 具有相同 VLAN 号的端口在同一个广播域中。Trunk 口收发数据时，包含 VLAN 标识。Trunk 又称为干线，可以设置允许多个 VLAN通过。(2)VLAN 中继协议：VLAN 中继协议有两种：ISL(Inter-Switch Link)： ISL 是 Cisco 专用的 VLAN 中继协议。802.1q(dot1q)：802.1q 是标准化的，应用较为普遍。(3)VTPVTP(Vlan Trunking Protocol)是 VLAN 传输协议， 在含有多个交换机的网络中， 可以将中心交换机的 VLAN 信息发送到下级的交换机中。中心交换机设置为 VTP Server，下级交换机设置为 VTP Client。VTP Client 要能学习到 VTP Server 的 VLAN 信息，要求在同一个 VTP 域，并要口令相同。(4)VLAN 共享如果要求某个 VLAN 与其他 VLAN 访问，可以设置 VLAN 共享或主附 VLAN。共享模式的 VLAN 端口，可以成为多个 VLAN 的成员或同时属于多个 VLAN。在主附 VLAN 结构中，子 VLAN 与主 VLAN 可以相互访问，子 VLAN 间的端口不能互相访问。一般的 VLAN 间使用不同网络地址；主附 VLAN 中主 VLAN 和子 VLAN 使用同一个网络地址。5、交换机和路由器的口令恢复:(1)交换机的口令恢复:交换机的口令恢复的操作是先启动超级终端，在交换机上电时按住的 mode 键.几秒后松手，进入 ROM 状态，将 nvram 中的配置文件 config.txt 改名或删除，再重启。参考命令为：switch:rename flash:config.text flash:config.bakswitch:erase flash:config.text(2)路由器的口令恢复:路由器的口令恢复操作先启动超级终端， 在路由器上电时按计算机的 Ctrl+Break 键，进入 ROM 监控状态 rommon， 用配置寄存器命令 confreg 设置参数值 0x2142， 跳过配置文件设置口令后再还原为 0x2102。参考命令为：rommonconfreg 0x2142router(config)#config-register 0x2102没有特权口令无法进入特权状态，只能进入 ROM 监控状态，使用 confreg 0x2142命令。当口令修改完后，可以在特权模式下恢复为使用配置文件状态。三、三层交换的概念1、交换机是链路层设备，使用 MAC 地址，完成对帧的操作。交换机的 IP 地址做管理用，交换机的 IP 地址实际是 V LAN 的 IP。一个 VLAN 一个广播域，不同 VLAN 的主机间访问，相当于网络间的访问，要通过路由实现。不同 VLAN 间主机的访问有以下几种情况：(1)两个 VLAN 分别接入路由器的两个物理接口。这是路由器的基本应用。(2)两个 VLAN 通过 trunk 接入路由器的一个物理接口，这是应用于子接口的单臂路由。(3)使用具有三层交换模块的交换机。 Cisco 的 3550 和华为的 3526 都是基本的三层交换机。1)通过 VLAN 的 IP 地址做网关，实现三层交换，要求设置 VLAN 的 IP 地址。2)将端口设置在三层工作，要求端口设置 no switchport，再设置端口的 IP 地址。2、交换机的通道技术交换机通道技术是将交换机的几个端口捆绑使用，即端口的聚合。使用通道技术一个方面提高了带宽，同时提高了线路的可靠性。但是如果设置不当，有可能产生环路，造成广播风暴堵塞网络。要聚合的端口要划分到指定的 VLAN 或 trunk。配置三层通道时，先要进入通道，再用 no switchport 命令关闭二层，设置通道 IP 地址。一个通道一般小于 8 个接口， 接口参数应该一致， 如工作模式、 封装的协议、 端口类型。3、端口协商方式端口的聚合有两种方式，一种是手动的方式，一个是自动协商的方式。手动的方式很简单，设置端口成员链路两端的模式为 on 。命令格式为：channel-group mode on自动方式有两种类型：P AgP(Port Aggregation Protocol)和 LACP(Link aggregation Control Protocol)。P AgP：Cisco 设备的端口聚合协议，有 auto 和 desirable 两种模式。auto 模式在协商中只收不发，desirable 模式的端口收发协商的数据包。LACP：标准的端口聚合协议 802.3ad，有 active 和 passive 两种模式。active 相当于 P AgP 的 auto，而 passive 相当于 P AgP 的 desirable。4、通道端口间的负载平衡通道端口间的负载平衡有两种方式，基于源 MAC 的转发和基于目的 MAC 的转发。scr-mac：源 MAC 地址相同的数据帧使用同一个端口转发。dst-mac：目的 MAC 地址相同的数据帧使用同一个端口转发。路由器原理与应用一、路由的基本概念路由器的网络层的设备，负责 IP 数据包的路由选择和转发。1、路由类型路由的类型有：直连路由、静态路由、默认路由和动态路由。直连路由是与路由器直接相联网络的路由，路由器有对直连网络有转发能力。静态路由是管理员人为设置的路由，网络开支小，可以有效的改善网络状况。默认路由是静态路由的一个特例， 将路由表不能匹配的数据包送默认路由。 一般在最后。动态路由是路由协议自动建立和管理的路由，常见动态路由协议有：RIP(Routing Information Protocol) 、IGRP(Interior Gateway Routing Protocol)、EIGRP(Enhance Interior Gateway Routing Protocol)、OSPF(Open Shortest Path First)、BGP(Backbone Getway Protocol)上述路由协议称为 routing protocol，而 IP、IPX 称为可路由的协议 routed protocol。也有一些协议是不可路由的，如 NetBEUI 协议。2、路由算法路由算法常见的有三种类型：距离矢量 D-V(Distance-V ector) 算法，如：RIP、IGRP、BGP；链路状态 L-S(Link State)算法，如：OSPF、IS-IS；混合算法，如：Cisco 的 EIGRP。3、路由交换范围路由器通过交换信息建立路由表，当网络结构变化时，路由表能自动维护。路由表跟随网络结构变化过程称为收俭。为了减少收俭过程引起的网络动荡，要考滤路由交换范围。RIP 协议通过 network 命令指定，例如：设置 网络的接口参与路由信息交换router(config-router)network ospf 协议通过 network 命令指定，例如：设置 接口参与路由交换router(config-router)network area 0area 是网络管理员在自治系统(国际机构分配)AS(Autonomous System)内部划分的区域。 是匹配码，0 表示要求匹配，1 表示不关心。4、路由表路由表(Routing T able)是路由器中路由项的集合，是路由器进行路径选择的依据，每条路由项包括：目的网络和下一跳，还有优先级，花费等。路由优先匹配原则：(1)直接路由：直连的网络优先级最高。(2)静态路由：优先级可设，一般高于动态路由。(3)动态路由：相同花费时，长掩码的子网优先。(4)默认路由：最后有一条默认路由，否则数据包丢弃。二、RIP 路由协议1、RIP 协议的认识RIP(Routing Information Protocol)是采用 D-V(Distance-Vector)算法的距离矢量协议根据跳数(Hop Count)来决定最佳路径。最大跳数为 16，限制了网络的范围。单独以跳数作为距离或花费， 在有些情况下是不合理的， 因为跳数少不一定是最佳路径；实际上带宽和可靠性也是重要的因素。有时需要管理员修改花费值。RIP 有两个版本，RIP-1 和 RIP-2。RIP-1：采用广播方式发送报文。不支持子网路由。RIP-2：支持多播方式、子网路由和路由的聚合。2、路由表的维护通过 UDP 协议每隔 30 秒发送路由交换信息，从而确定邻居的存在。若 180 秒还没有收到某相邻结点路由信息，标记为此路不可达。若再 120 秒后还没有收到路由信息，则删除该条路由。当网络结构变化时，要更新路由表，这个过程称为收敛(Convergence)。RIP 标记一条路由不可达要经过 3 分钟，收敛过程较慢。路由表是在内存当中的，路由器上电时初始化路由表，对每个直接网络生成一条路由。同时复制相邻路由器的路由表，复制过程中跳数加 1，且下一跳指向该路由器。若去往某网络的下一跳是 RouteA， 若 RouteA 去该网络的路由没有了， 则删除这一路由。跳数是到达目的网络所经过的路由器数目，直接网络的跳数是 0，且有最高的优先级。3、路由环路：矢量路由的一个弱点就是可能产生路由环路，产生路由环路的原因有两种，一是静态路由设置的不合理，再一是动态路由定时广播产生的误会。先看静态路由设置不合理的情况：设两个路由器 RouterA 和 RouterB， 其路由表中各有一条去往相同目的网络的静态路由，但下一跳彼此指向对方，形成环路。再看动态路由造成的情况：假设某路由器 RouterA 通过 RouterB 至网络 neta，但 RouteB 到 neta 不可达了，且 RouterB 的广播路由比 RouterA 先来到，RouterB 去 neta 不可达，但 RouterA 中有去往 neta 路由，且下一跳是 RouterB，这时 RouteB 就会从 RouterA 那里学习该路由，将去往 neta 的指向 RouterA，跳数加 1。去 neta 的路由原本是 RouterB 传给 RouterA 的，现 RouterB 却从 RouterA 学习该路由，显然是不对的，但这一现象还会继续，RouterA 去 neta 网络的下一路是 RouterB，当 RouterB 的跳数加 1 的时候，RouterA 将再加 1。周而复反形成环路，直至路由达到最大值 16。4、解决路由环路的办法(1) 规定最大跳数RIP 规定了最大跳数为 16，跳数等于 16 时视为不可达，从而阻止环跳进行。(2) 水平分割水平分割是过滤掉发送给原发者的路由信息。具体路由信息单向传送。(3) 毒性逆转水平分割的改进，收到原是自己发出的路由信息时，将这条信息跳数置成 16，即毒化。(4) 触发方式一旦发现网络变化，不等呼叫，立即发送更新信息，迅速通知相邻路由器，防止误传。(5) 抑制时间在收到路由变化信息后，启动抑制时间，此时间内变化项被冻结，防止被错误地覆盖。三、OSPF 路由协议1、OSPF 的特点OSPF(Open Shortest Path First)开放式最短路径优先协议，使用 L-S(Link State)算法的链路状态路由协议，路由算法复杂，适合大型网络，网络拓扑结构变化时，采用触发方式，组播更新，收敛快，要求更高的内存和 CPU 资源。LSA(Link State Advertisement)链路状态通告是以本路由器为根的最小路径优先树。LSDB(Link State DataBase)链路状态数据库，这是各个路由器的 LSA 的集合。每个路由器的 LSA 是不同的，但他们的集合 LSDB 是相同的。D-V 算法只考虑下一跳， 没有全局的概念， 交给下一跳就完成任务， 所以容易产生环路。L-S 算法每个路由器可以根据网络整体结构决定路径，所以不会产生环。2、指定路由器与路由器标识指定路由器 DR(Dezignated Router)是 ospf 路由交换的中心，数据通过 DR 进行交换。在路由器群组中优先级(Router Priority)值最高的为 DR， 次高的为备份指定路由器 BDR。管理员可以通过设置优先级指定 DB 和 BDR。优先级相同时，比较 router id。如果没有设置 Router id，则以回环接口 loopback ip 值高的为 DR，如果 loopback ip 没有设置，取接口的 IP 地址中最高的为 DR。3、建立路由表(1)Hello 报文Hello 报文用于发现新邻居问候老邻居，选举指定路由器 DR 和 BDR。(2)DD 报文(Database Description Packet)DD 报文用 LSA 头 head 信息表示 LSA 的变化情况，将其发送给 DR，DR 再发给其它路由器。(3)LSR 报文(Link State Request Packet)LSR 是请求更新包，当 LSDB 需要更新时，将其发送给 DR，点对点连接时直接同步 LSDB。(4)LSU 报文(Link State Update Packet)DR 用多播 Multicast 地址 收， 发，同步整个区域的 LSDB。(5)确认后计算路由：LSDB 同步后，计算 cost 花费，考虑跳数、带宽、可靠性等综合因素求解最佳路径。4、单区域 OSPF 配置单区域 OSPF 配置是指运行 OSPF 协议的路由器在同一个区域 area n，对于只有一个区域的网络，区域号是任意的，一般设置为 0。单区域 OSPF 有三种连接情况：点对点的连接(Point to point)、广播方式的连接(Broadcast Multi Access Network)、非广播方式多点连接(Non Multi Access Network)。点对点连接结构最简单，可靠性高，工作稳定；以太网连接是典型的广播方式的连接；帧中继连接是属于的非广播方式多点连接类型。5、多区域 OSPF 的设置多区域中要求有一个是骨干区域 area 0，边界路由器跨接两个区域。多区域的区域内部按单区域设置，多区域间通过边界路由器的连接。stub 是末节区域，末节区域不接收 ospf 以外的路由信息，如果路由器想去往区域以外网络，要使用默认路由。只有多区域中才存在末节区域。末节区域要设置在边界路由器上。作为企业可以将分支区域设置为末节区域，分支区域不需要知道总部网络的细节，却能够通过缺省路由到达那里。四、访问控制列表1、访问控制列表类型与作用访问控制列表是对通过路由器的数据包进行过滤。过滤是根据 IP 数据包的 5 个要素：源 IP 地址、目的 IP 地址、协议号、源端口、目的进行的。访问控制列表有两类，标准访问控制例表和扩展的访问控制列表。标准访问列表：标准访问列表的列表号为 199，只对源 IP 地址进行访问控制。扩展访问列表：扩展访问列表的列表号为 100199，可对源和目的地址、协议、端口号进行访问控制。2、访问控制列表的结构分三步：定义一个 ACL：access-list 进入指定接口：interface 绑定指定 ACL：ip access-group in|out3、访问控制列表匹配原则访问控制列表默认的是 deny any。一般是逐行匹配，也可以设置深度匹配。所以写访问控制列表一般是从小的范围向大的范围，成为梯形结构。一般在访问控制表的最后一行要写 permit any。4、命名方式的访问控制列表命名方式是用名称代替列表号，便于记忆，扩展了条目数量，可以是基本型或扩展型。命令方式 ACL 语法有些变化，支持删除一个列表中的某个语句。命名语法格式：roa(config)#ip access-list standard|extended nameroa(config std nacl)#deny|permitroa(config ext nacl)#deny|permitprotocolop第一行是定义命名方式访问控制列表类型：标准或扩展。第二行是标准命名方式的访问控制列表的语法格式。第三行是扩展命令方式的访问控制列表的语法格式。五、地址转换 NA T1、NA T 的认识NA T(Network Address Translate)是地址转换操作。NA T 可以将局网中的私有 IP 转换成公有 IP，解决了内部网络访问 internet 的问题。NA T 可以做负载均衡，将内部多个服务器对外映射成一台服务器。定义：Inside local address: 内部网的私有 IP。Inside global address: 内部网的公有 IP。Outside global address: 互联网中的公有 IP。Outside local address: 互联网中的公有 IP 对应的私有 IP。NA T 可分为原地址变换 SNA T 和目的地址变换 DNA T。按工作方式划分，可分为静态 NA T 和动态 NA T。SNA T 命令中使用 source 参数，DNA T 命令中使用 destination 参数。(对已连接的返回包可自动对应)2、静态 NA T建立 IP 地址与 IP 地址之间一对一的就应关系设置：Router(config)#ip nat inside source static 在接口 inside 中对 IP 地址一对一的进行变换，一般 ipa 是私网 IP，ipb 是公网 IP。3、动态 NA T动态 NA T 一般用于将局域网中的多个私有 IP 从公有 IP 地址池中提取公有 IP 对外访问。设内部局域网是：，公网 IP 地址池为：当内部网络要访问 internet 时，从公网 IP 地址池中提取公网 IP 对外访问。设置：定义地址池 p1：Router(config)#ip nat pool p1 netmask 定义访问控制列表 1：Router(config)#access-list 1 permit 55将访问控制列表 1 的源地址，动态的从公网 IP 地址池 p1 的提取公网 IP:Router(config)#ip nat inside source list 1 pool p14、P A TP A T(Port Address Translate)是端口地址转换，将私有 IP 转换到公网 IP 的不同端口上。PAT 是原将动态 nat 地址池 pool 改为用接口，并使用参数 overload。属于动态 NAT。设置：Router(config)#access-list 2 permit 55Router(config)#ip nat inside source list 2 interface s0/0 overload5、基于 NA T 的负载均衡NA T 可以实现负载均衡。一般的 NA T 都是将内部私有 IP 转换为公网 IP，连接方向从内部向外。而对于负载均衡是将一个公网 IP 翻译成多个内部私有 IP，连接访问从外向内。例如：内部的 www 服务负载过重，可将多台同样的服务器，但对外映射成一个 IP 地址，内部的多台服务器成为捆绑在一起构成虚拟服务器，外部访问这个虚拟服务器时，路由器轮流指向各台服务器，从而达到负载均衡。设置：定义地址池 p2，使用 rotary 参数轮循。ra(config)#ip nat pool p2 netmask type rotaryra(config)#access-list 1 permit ra(config)#ip nat inside destination list 1 pool p2在指定接口 inside 中建立 list 2 与 pool p2 的对应关系。Destination 表示转换目的地址。6、基于服务的 NA T基于服务的 NA T 配置， 细化了 NA T 的应用， 转换可以具体到协议和端口， 即指定的服务上。例如:对内网的虚拟服务器(使用一个公网 IP)的访问：当访问 TCP 20 端口时就将它转到内部 ftp 服务上。当访问 TCP 21 端口时也将它转到内部 ftp 服务上。当访问 TCP 80 端口时就将它转换到内部的 www 服务器上。设置：Router(config)#ip nat inside source static tcp 20 20Router(config)#ip nat inside source static tcp 21 21Router(config)#ip nat inside source static tcp 80 80常见广域网协议及特点一、常用的广域网协议PPP(Point to Point Protocol)、HDLC(High level Data Link Control)、f