网络设备配置与管理（第3版）课件汇 邱洋 05 静态路由实现网络互联-11 网络设备的管理

05静态路由实现网络互联路由技术与校园网应用路由技术作用连接不同地域网络，解决多网络间信息传输，实现全球互联网互通。路由系统功能主要负责网络连接与路径选择，通过数万台路由器协同工作，执行算法优化路径。网络拓扑结构网状结构形成，多路径选择，需路由器群协作，执行路由算法，优化传输路线。路由设备管理由运营商或企业网络部门管理，通过路由协议交换信息，实现路径优化与网络互通。静态路由技术应用以校园网为例，介绍静态路由技术在实际场景中的应用与管理方式。学习IP地址的基本知识01IPv4地址简介

IPv4地址简介全球唯一标识，网络中定位TCP/IP主机，逻辑地址可修改但不重复。

IP地址理解类比现实方位标识，确保网络通信准确无误。IPv4地址简介

IPv4地址及其分类IPv4是32位，分点分十进制或4个八位组，由网络位和主机位构成，分5类，实际用A、B、C类，D类组播，E类保留科研。IPv4地址简介：一些特殊的IP地址下面列出的IP地址不能用来标识某个TCP/IP主机，而是专用于一些特殊的场合

本地环回地址127.x.y.z属于本地回环测试地址，ping该地址可检验本地网卡安装及TCP/IP协议栈配置是否正确。IPv4地址简介：一些特殊的IP地址广播地址

IPv4广播地址广播地址分直接与受限，直接广播地址主机位全1，如55；受限广播地址全位1，即55，仅限本网络内广播，不跨网传播。IPv4地址简介：一些特殊的IP地址IP地址代表任何网络；主机位全部为0代表某一个网络IP地址169.254.x.y，即自动分配私有IP地址（AutomaticPrivateIPAddressing，APIPA）。如果DHCP的客户端无法从DHCP服务器租用到IP地址，则它们会自动产生一个网络号为的临时地址，利用它与同一个网络内也是使用169.254.x.y地址的计算机通信IPv4地址简介

私有IP地址RFC1918定义A、B、C类私有IP地址，局域网可用无需申请，需NAT技术协助对外通信。IPv4地址简介：子网掩码子网掩码的功能一：区分网络位与主机位

子网掩码功能区分IP地址网络位与主机位，帮助网络内主机识别同网段，连续1标识网络位，连续0标识主机位，AND运算确定网络号。

子网掩码作用原理通过AND运算结合IP地址与子网掩码，确定网络号，剩余为主机号，用于判断两主机是否在同一网段，决定直接通信或需经由路由器。IPv4地址简介：子网掩码子网掩码的功能二：分割网络为子网

子网划分原理通过借用主机位作为子网位，可划分2^N个子网，每个子网最多允许2^(M-N)-2个主机，需去除全0和全1子网号在非CIDR环境下。

子网掩码作用用于将大网络分割成多个子网，每个子网需唯一网络号，可通过申请多个网络号或用子网掩码划分单一网络实现。IPv4地址的应用：子网的划分子网划分的方法

子网划分计算IP转二进制，子网掩码同转，网络位与主机位分界，置0得网络地址，置1得广播地址，中间为可用IP范围。子网划分实例/24划分，子网数8，每子网主机数30，网络位扩展，主机位缩减，计算基于2的幂次法则。IPv4地址的应用：子网的划分子网划分的应用举例子网划分步骤从C类地址划分6个子网，挪用3位主机位，子网掩码24，各子网地址递增32。子网地址与广播地址子网1-6地址分别为,32,64,96,128,160，广播地址为31,63,95,127,159,191，每子网30个可用IP。IPv4地址的应用：子网的划分子网划分的快速应用方法

IPv4子网划分建立表格展示不同子网数对应的网络位数、子网掩码及可分配IP数，如2子网使用掩码，可分配32766个IP。

子网划分实例续表细化至2048子网，挪用更多主机位，如2048子网需27/11网络位数，使用24掩码，每子网30个可用IP。IPv4地址的应用：VLSM可变长子网掩码

VLSM概念与优势VLSM是相对于有类IP地址的网络分配机制，可配置不同掩码，能灵活划分子网并保留足够主机数，基于比特位。IPv4地址的应用：VLSM可变长子网掩码VLSM在工程实践中的应用

VLSM应用通过VLSM,网络可细分为多级子网，合理规划全0和全1子网，高效利用地址空间。

VLSM实例局域网LAN用27位掩码满足30台设备需求，WAN则理想使用30位掩码，仅需2个地址，避免资源浪费。IPv4地址的应用：VLSM可变长子网掩码VLSM提高IP地址使用效率使用VLSM可增加IP地址灵活性，提高使用效率，其为不区分A、B、C类地址分类界线的编址方式。IPv6地址简介

IPv6地址资源IPv6提供近乎无限的地址空间，解决IPv4地址枯竭问题，支持互联网持续发展。

IPv6地址优势IPv6增强网络安全性，提升数据传输速度，改善服务质量，支持即插即用、移动性和多播功能。

IPv6地址长度IPv6地址长度为128位，采用十六进制表示，有3种主要表示方法。

十六进制表示法十六进制表示法格式为X:X:X:X:X:X:X:X，每个X是4位十六进制数，前导0可省略。

0位压缩表示法IPv6地址中间连续一段0可压缩为“::”以提高便捷性，“::”在地址中只能出现一次。

内嵌IPv4地址表示法为使IPv4用户访问IPv6资源，IPv4地址嵌入IPv6地址中，格式为X:X:X:X:X:X:d.d.d.d，前96位十六进制，后32位点分十进制，如::FFFF:。路由器的接口和基本配置02路由器的硬件

路由器与交换机对比交换机无需配置，接电源连计算机即可组建简单局域网；路由器必须配置才能接入网络发挥作用。路由器的硬件：华为AR2220-AC路由器硬件配置路由器硬件配置

路由器硬件配置四核600MHz处理器，2GB内存，16MBFlash，交流150W电源，3个千兆口含GECombo光电复用接口，电光口默认自动识别，不可同时工作。

路由器外观设计正面与背面展示，一体化主控板设计，支持固定接口，GECombo接口实现光电灵活切换，适应不同场景需求。路由器的硬件：华为AR2220-AC路由器硬件配置接口与配置方式

接口功能8和9号为MiniUSB与CON/AUX，复用且互斥，用于控制台连接配置；11号ESD插孔，维护时需插入防静电腕带。

远程管理AUX接口支持Modem拨号，实现远程管理中心连接，适用于远程配置需求。路由器的硬件

AR2220-AC路由器接口AR2220-AC路由器背面有4个SIC槽位和2个WSIC槽位，可插接口单板扩展接口，2个SIC槽位可拆卸滑道合并为1个WSIC槽位，新槽位号取较大者。路由器的基本配置

学习情境项目中将涉及大量的路由器配置任务，为了能够更好地参与路由器配置工作，小张先学习了路由器的基本配置。路由器的基本配置：操作过程搭建网络拓扑

01路由器基本配置配置主机名、Console和VTY用户界面，接口配置与交换机有差异，需特别注意。

02网络拓扑搭建使用AR2220路由器，通过添加合适接口卡实现百兆以太网口和串行口连接，确保设备关机状态操作。路由器的基本配置：操作过程

配置主机名称进入系统视图，输入sysnameR1命令，将主机名称修改为R1，完成配置后显示[R1]。路由器的基本配置：操作过程配置控制台接口和启用远程登录

控制台配置设置Console口密码验证，密码为huawei，确保设备安全访问。

远程登录配置配置admin用户通过Telnet远程登录，使用AAA验证，密码加密存储，用户级别为配置级。路由器的基本配置：操作过程接口配置

配置串行接口广域网串行接口默认同步模式，需配置IP参数，示例：R1与R2的Serial1/0/0分别设为与。配置以太网接口以太网接口配置IP参数，如R1与R2的Ethernet2/0/1分别设为54与54。查看接口配置通过displayipinterfacebrief查看接口摘要信息，确认物理与协议状态；使用displayinterface具体接口查看详细状态。配置静态路由03路由技术简介路由技术关系转发与选择独立又配合，前者用后者维护的路由表，后者需前者发布数据分组。常用路由协议IP协议为转发标准，路由选择分静态与动态，配置合适选择协议是关键。寻径寻径是判定到达目的地最佳路径，由路由选择算法实现，该算法启动并维护路由表，路由器间通信更新路由表，反映网络拓扑变化并决定最佳路径即路由选择协议。转发转发是沿最佳路径传送信息分组，根据路由表决定数据转发、接口连接或丢弃，典型路由选择协议有静态路由和动态路由。静态路由静态路由是路由器中固定路由表，适用于网络范围不大、拓扑结构固定的网络，优点是简单、可靠、高效，优先级最高，冲突时以静态路由为准。动态路由动态路由是路由器间通信更新路由表，适用于大规模复杂网络，分IGP（如RIP、OSPF）和EGP（如BGP），常作静态路由补充。静态路由配置的实施

静态路由配置管理员需手动输入路由条目，适合简单稳定网络，条目多或网络频变不宜采用。

静态路由适用性适用于网络结构简单且稳定的场景，不适应频繁变动或大规模网络。静态路由配置的实施

网络中仅包含几台路由器在这种情况下，使用动态路由协议并没有任何实际好处。相反，动态路由可能会增加额外的管理负担。

单ISP网络接入Internet因为该ISP就是唯一的Internet出口点，所以不需要在此链路间使用动态路由协议。

"集中星形拓扑网络"集中星形拓扑结构由中心点和多个分散点组成，每个分散点仅一条连接到中心点，无需动态路由。静态路由配置的实施：操作过程

搭建网络拓扑网络拓扑如图5-11所示，请读者根据拓扑图在模拟器上搭建网络拓扑。静态路由配置的实施：操作过程配置路由器接口地址

静态路由配置配置R1接口IP：Serial1/0/0为/30，Ethernet2/0/0为54/24，GigabitEthernet0/0/0为/30。

查看接口状态R1四个接口物理层与链路层状态均为UP：Ethernet2/0/0，GigabitEthernet0/0/0，Serial1/0/0，NULL0。静态路由配置的实施：操作过程配置静态路由

01静态路由配置配置静态路由，以R1为例，针对非直连网络/24、2/30、/24，使用下一跳地址或出接口完成。

02查看路由表验证通过[R1]displayiprouting-table命令，检查包含"Static"标识的路由条目，确认静态路由设置正确，优先级为60。静态路由配置的实施：操作过程步骤3验证网络的连通性在PC1上利用ping命令测试到PC2和Server1的连通性，操作过程不再演示，请读者自行测试。静态路由配置的实施：操作过程配置默认路由

01默认路由配置用于转发未知目标地址的数据包，简化配置，提高网络性能。

02默认路由优先级通过设置优先值实现，值越大优先级越低，确保高可用性。THEEND谢谢06利用RIP实现网络互联动态路由RIP在大型网络应用网络互联方式静态路由维护难，动态路由适用大型网络，RIP为动态路由协议。RIP应用介绍本章与下一章详细讲解RIP在动态路由中的应用。学习RIP基本知识01任务1学习RIP基本知识

动态路由表的特点动态路由表内容通过路由器间交换信息，经算法运算得出，网络变化时会更新。

内部网关协议类型IETF制定的内部网关协议（IGP）包括OSPF协议和RIP协议。

本书主要介绍内容本书主要介绍内部网关协议RIP和OSPF。RIP简介

RIP简介RIP是应用较早、使用较普遍的内部网关协议，适用于小型同类网络自治系统内路由信息传递，基于距离矢量算法。

RIP的工作原理RIP是距离矢量路由协议，路由表从相邻路由器学来，收到的路由条目不变放入自己路由表，不完全了解整个网络，不知路由是否正确及目标是否可达。RIP术语metric值

RIP用跳数作metric值，直连网络为0，最大15，大于15不可达，适用于小型网络。管理距离

管理距离用于不同路由协议间比较，RIP为120，OSPF为110，EIGRP为90，路由器选管理距离最短的路由。传输协议

RIP将路由信息封装到UDP端口520数据包，版本1用广播地址55发送，版本2用组播地址发送。RIP版本

RIP有3个版本：RIPv1、RIPv2用于IPv4网络环境，RIPng用于IPv6网络环境。RIP运行的几个时间

RIPv1和RIPv2每隔30s发送路由表更新，路由180s未更新标记不可用，240s未更新从路由表删除。RIPv1和RIPv2的主要特点

RIP版本与默认行为配置RIP未指定版本时，路由器默认接收任意版本路由更新，只发送RIPv1版本路由更新。

RIP版本与安全加密RIP因路由更新可被任何运行RIP的路由器接收，为安全可加密更新，仅RIPv2支持明文或MD5加密认证。

RIPv1与RIPv2差异RIPv1无子网掩码，自动汇总为主类网络，限制多；RIPv2含子网掩码，支持CIDR和VLSM，可关闭自动汇总。

RIPv1与RIPv2区别RIPv1与RIPv2的主要区别：VLSM和CIDR支持、更新方式、IP类别、认证、更新是否带子网信息。RIP路由环路

RIP路由环路原因网络拓扑变化,RIP更新延迟,致路由收敛慢,产生错误路由,引发环路。

RIP路由环路影响数据包循环发送,消耗网络资源,效率低下,需采用特定策略解决。RIP路由环路

定义最大值RIP为避免路由更新延时造成环路，定义metric最大值为16，达16视为网络不可到达，不再接收该网络路由更新信息。

水平分割水平分割是消除路由环路并加快网络收敛的方法，规则为路由器从一个接口接收路由更新后，不再从此接口发送出去。

路由毒化路由毒化原理：网络故障时，路由器向相邻路由器发路由更新信息，标metric值为无穷大，依次通知各路由器网络失效，避免路由环路。

毒性逆转路由器B向A发送毒性逆转更新，说明不可到达，确保所有路由器接收毒化路由信息，破坏水平分割是特例。

抑制计时器抑制计时器阻止定期更新消息不当时重置无效路由，保持路由改变一段时间，比更新传遍网络时间长。RIP路由环路：触发更新

触发更新加速网络收敛触发更新是路由变化时立刻发送更新信息，使网络路由器最短时间内收到，加快收敛速度。

抑制时间解决路由环路抑制时间内忽略同目的、同样或更差度量值的路由，确保触发更新传遍网络，避免损坏路由重新插入，解决路由环路。利用RIP实现网络互联02学习情境学习情境小张依据拓扑图实践RIP配置，深化理论学习，提升网络技能。实践操作通过实际配置RIP，小张将理论知识转化为操作能力，增强问题解决技巧。操作过程：搭建网络拓扑

网络拓扑搭建指南网络拓扑如图6-2所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑设备地址分配详情

网络设备配置PC1至PC3配置网卡IP:172.18.1-3.1/24;R1至R3及ISP接口IP覆盖172.16.123.x/30,100.0.0.x/24,确保网络连通性。

网络拓扑构建R1、R2、R3路由器通过S1/0/0,S1/0/1,S2/0/0接口互联,形成骨干网络,连接PC1-3实现局域网通信,接入ISP完成广域网连接。操作过程

配置计算机的IP地址根据表6-2分配地址，参照图6-3中PC1的配置示例，按相同方法配置图6-2网络拓扑中其他计算机的IP地址。操作过程：配置路由器的接口地址R1接口地址配置

配置GigabitEthernet0/0/0设置IP地址/24于GigabitEthernet0/0/0接口。配置Serial1/0/0Serial1/0/0接口配置为/30。配置Serial1/0/1分配/30给Serial1/0/1接口。配置Serial2/0/0Serial2/0/0接口IP设为/24。操作过程：配置路由器的接口地址R2接口地址配置

配置GigabitEthernet0/0/0设置IP地址/24于GigabitEthernet0/0/0接口。

配置Serial1/0/0设置IP地址/30于Serial1/0/0接口。

配置Serial1/0/1设置IP地址/30于Serial1/0/1接口。操作过程：配置路由器的接口地址R3接口地址配置

配置GigabitEthernet0/0/0设置IP地址/24于GigabitEthernet0/0/0接口。

配置Serial1/0/1设置IP地址0/30于Serial1/0/1接口。

配置Serial1/0/0设置IP地址/30于Serial1/0/0接口。操作过程：配置路由器的接口地址ISP接口地址配置配置ISP接口地址：进入Serial1/0/0接口，设置IP地址为，子网掩码24位。测试设备连通性利用ping命令测试相邻设备连通性，检查IP地址配置是否正确，确认相邻设备能相互通信，此步骤需读者自行操作。操作过程：使用RIPv2进行配置开启RIPv2

使用RIPv2配置在三台路由器上依次开启RIPv2，通过命令行配置版本为RIPv2，以支持子网掩码和图6-2所示拓扑功能。配置命令执行[R1]rip，[R1-rip-1]version2，同理在[R2]和[R3]上操作，确保RIP进程默认号为1，版本升级至RIPv2。操作过程：使用RIPv2进行配置宣告网段信息

网络配置通过RIPv2协议，各路由器需发布与两个直连网段，采用标准A、B类地址，忽略子网划分。

具体命令在R1、R2、R3上执行[R-x-rip-1]network命令，分别宣告和网段，实现信息共享。操作过程：使用RIPv2进行配置

外网访问限制说明R1路由器S2/0/0接口连ISP路由器，其直连网段未发布致用户无法访问外网，后续将添加路由实现内网访问外网。操作过程：步骤3查看路由器的路由信息查看路由器R1的路由表路由信息概览共有22个目的地，23条路由，包括直连和RIP协议，显示Flags为R-D。具体路由详情列举了从/24至/30的详细路由条目，包含下一跳地址与接口信息。操作过程：步骤3查看路由器的路由信息路由器R1的直连网络

路由信息包含/24、/32和55/32三个条目，均为直连路由，下一跳地址分别为和，接口为GigabitEthernet0/0/0。

操作步骤执行命令查看路由表，确认直连网络的详细信息，包括网络地址、子网掩码、协议类型、优先级、度量值、下一跳及出接口。操作过程：步骤3查看路由器的路由信息

路由器R1的RIP路由/24RIP1001操作过程：将默认路由引入RIP

配置默认路由[R1]iproute-staticSerial2/0/0

引入默认路由进入RIP协议视图，使用default-routeoriginate命令引入默认路由。操作过程：将默认路由引入RIP查看路由表

默认路由引入RIP显示路由表，确认/0默认路由通过RIP协议引入，下一跳为，接口Serial1/0/0。

RIP路由详情除默认路由外，RIP还承载/24和/24网段，下一跳分别为和0，优先级100，成本1。操作过程测试为保证测试顺利，在ISP路由器上做默认路由指向R1路由器，使计算机能访问ISP路由器，测试可在不同计算机上用ping命令测试各网络通信情况，过程请读者自行操作。配置接口抑制RIP路由更新从连接计算机接口发送会浪费资源，可配置被动接口使其只接收不发送，以R1的G0/0接口为例，配置命令为silent-interfaceGigabitEthernet0/0/0。THEEND谢谢07利用OSPF实现网络互联OSPF在校园网中的应用

RIP应用局限RIP适合小规模网络，变化时收敛慢，不适用大型网络。

OSPF在大型网络OSPF常用于大型网络路由，通过校园网实例展示其应用。学习OSPF路由协议基本知识01OSPF路由协议简介

OSPF协议简介OSPF是内部网关协议，用于单一自治系统内路由决策，是链路状态路由协议，基于Dijkstra算法计算最短路径，与RIP的距离矢量协议不同。

OSPF特性与应用OSPF由IETF开发，无厂商限制，无跳数限制，支持CIDR和VLSM，无自动汇总可手动汇总，管理距离110，支持等价负载均衡。

OSPF路由更新机制OSPF采用增量更新，路由变化时发送变化信息，设路由刷新时间，默认1800s（30min）为定期更新周期。

OSPF与RIP的区别OSPF是链路状态路由协议，路由器交换链路状态，根据SPF算法计算精确路径，与RIP产生路由方式不同。OSPF路由协议常用术语：Router-ID

OSPFRouter-ID概念Router-ID是运行OSPF协议路由器的唯一身份标识，用于标记链路状态的发起者，网络中不可重名。

Router-ID确定方法手动指定Router-ID；未手动指定时，启用Loopback接口选最大IP；无Loopback接口选最大物理接口IP。OSPF路由协议常用术语：Cost值OSPFCost值计算原理OSPF通过Cost值选路，基于接口带宽计算，需累加到达目标网络沿途所有接口的Cost值。Cost值的计算方式累加时只计算出接口，不计算进接口；带宽越高Cost值越小，路径越优先；OSPF路由器可自动或手动指定接口Cost值，手动指定优先。负载均衡的应用通过Cost值，可以执行负载均衡，最多允许6条链路同时执行负载均衡。OSPF路由协议常用术语：链路状态（Link-State，LSA）

链路状态信息链路状态（LSA）是OSPF路由器接口的描述信息，含IP地址、子网掩码等，OSPF路由器间交换的是链路状态而非路由表。

计算精确路径OSPF路由器获取网络链路状态信息，发给邻居，邻居存入链路状态数据库并转发，以计算到达各目标的精确路径。

网络拓扑图构建OSPF路由器通过获取网络链路状态，共同描绘出相同的网络拓扑图。OSPF路由协议常用术语：OSPF区域OSPF的区域划分与计算

OSPF区域作用分区域计算降低复杂度，各区域独立进行LSA传递与路由计算，简化后跨区转发。LSA在OSPF区域区域内精确传递，区域间简化汇总，确保内部路由器掌握精确LSA，跨区通信高效。OSPF路由协议常用术语：OSPF区域

区域0的角色与划分区域0是骨干区域必须创建，作为中转站转发LSA，其他区域间无法互相转发，基于路由器接口划分，一台路由器可属单区域或多区域。OSPF路由协议常用术语：OSPF区域路由器类型与角色

01OSPF区域类型内部路由器所有接口同属一区，区域边界路由器接口跨多区，自治系统边界路由器引入外部路由。

02内部路由器定义所有接口位于同一区域，不参与区域间路由信息传递。

03区域边界路由器功能连接多个区域，可汇总LSA转发至其他区域，关键路由信息中转站。

04自治系统边界路由器角色引入非OSPF路由，非单纯协议间重分布，担当外部路由入口。OSPF路由协议常用术语：邻居OSPF邻居关系建立OSPF需先形成邻居关系才能交换LSA，通过周期性发送Hello包建立维护，不同网络Hello间隔不同，超过4倍Hello间隔未收到则断开邻居关系。OSPF邻居条件属于相同OSPF区域\n\nHello时间和Dead时间一致\n\n配置相同认证密码\n\n末节标签一致且在相同末节区域内OSPF路由协议常用术语

邻接OSPF路由器交换LSA需从邻居关系升级为邻接关系。邻居关系仅交换Hello包，邻接关系还交换LSA。OSPF路由协议常用术语：DR和BDR

DR和BDR目的减少LSA传输，优化网络效率，DR集中处理，分发信息。

DR和BDR选举按规则选举产生，保障网络稳定性，DR主导，BDR备份，适用多路访问网络。

比较接口优先级同一网段路由器接口优先级比较，数字越大优先级越高，最高为DR，次为BDR，范围0～255，默认1，0不参与选举。

Route-ID的大小未配置时路由器接口优先级相同，通过Route-ID选举DR、BDR，Route-ID最大的为DR，其次是BDR。OSPF路由协议常用术语：Router-ID

Router-ID的三种确定方式Router-ID的三种确定方式：根据物理接口确定、根据环回接口确定、手动指定。

物理接口与环回接口的优先级OSPF启动时，路由器选物理接口最大IP为Router-ID；配环回接口则选环回最大IP。已存在Router-ID时，需重启或删创OSPF才更新。

手动配置Router-ID管理员还可以利用命令直接配置路由器的Router-ID，并且不需要重启路由器就能生效。OSPF路由协议常用术语：OSPF的数据包

OSPF数据包类型五种关键数据包支持邻居建立、LSA交换及路由计算，确保网络信息准确传播。Hello数据包Hello数据包用来建立和维护OSPF邻居，以及DR和BDR的选举。DatabaseDescriptionPackets（DBD，链路状态数据库表述数据包）LSA的基本描述信息相当于LSA的目录信息，邻居根据此信息确认自己需要哪些信息。LinkStateRequest（LSR，链路状态请求）邻居看完LSA描述信息（DBD）后，若有未知信息，发送LSR请求邻居发送相应LSA。LinkStateUpdate（LSU，链路状态更新）邻居收到LSA请求后，根据请求的LSA，将相应LSA内容完整发送给邻居。OSPF路由协议常用术语：OSPF的数据包LinkStateAcknowledgmentPacket（LSAck，链路状态确认数据包）

路由器收到邻居LSA后返回LSAck确认，LSA组织成LSDB保存，OSPF根据LSDB计算路由表。OSPF路由协议常用术语：OSPF的网络类型OSPF网络类型概览在OSPF中，网络类型会影响配置方式，所以需要对网络类型有一个基本认识，其主要特点见表7-1。点到点与点到多点网络点到点网络：Hello时间10s，不选举DR和BDR，邻居自动建立。点到多点网络：Hello时间30s，不选举DR和BDR，邻居自动建立。广播与非广播网络广播：时长10s，支持自动；非广播：时长30s，支持手动。两者均为是。点到多点非广播网络点到多点非广播网络，英文为Point-to-MultipointNon-Broadcast，时长30秒，非自动，需手动操作。实现OSPF配置02学习情境

学习情境小张学完OSPF理论，按王师傅指导，依拓扑图实践配置，深化理解网络协议。

实践操作依据拓扑，小张动手配置OSPF，实操中领悟协议机制，提升技能。操作过程：搭建网络拓扑

网络拓扑搭建指南网络拓扑如图7-3所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑设备IP地址分配

网络设备配置详细列出了R1至R6路由器各接口名称、IP地址及网关信息，包括G0/0/0至G0/0/2和Loopback接口。

特殊配置R5的G0/0/1接口具有特定IP/30，网关为，R6作为其对端设备。操作过程：配置路由器的接口地址R1接口配置

配置过程设置GigabitEthernet0/0/0IP为/24，GigabitEthernet0/0/2为/24，LoopBack0为/32，LoopBack1为/24。

接口配置详细配置了四个网络接口，包括两个GigabitEthernet和两个LoopBack，分配了相应的IP地址及子网掩码。操作过程：配置路由器的接口地址R2接口配置

配置接口地址依次为GigabitEthernet0/0/0至0/0/2及LoopBack0配置IP地址，分别为/24，/24，/24与/32。操作过程：配置路由器的接口地址R3、R4、R5、R6接口配置

配置过程为R3至R6的多个GigabitEthernet及LoopBack接口分配特定IP地址，如R3的GigabitEthernet0/0/0设为/24。

具体配置示例：R4的LoopBack0配置为/32，R5的GigabitEthernet0/0/1设置为/30，R6的GigabitEthernet0/0/1则为/30。操作过程：配置路由器的接口地址

连通性测试利用ping命令测试相邻设备连通性，检查IP地址配置是否正确，确保相邻设备能相互通信，此步骤需读者自行操作。操作过程：OSPF基本配置Area0区域的OSPF配置

OSPF配置R2设置R2的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF。

OSPF配置R3设置R3的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF。

OSPF配置R5设置R5的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF，G0/0/1接口未配置OSPF。

拓扑结构R2、R3和R5位于Area0，R2和R3同时在Area1和Area2，R5连接校园网络，R2和R3为ABR，R5可视为ASBR。操作过程：OSPF基本配置Area1区域的OSPF配置

OSPF区域配置区域1包含R1、R2、R3，R3的G0/0/2口误配为区域1，需修正。

R1配置R1配置OSPF，ID为，宣告、/24、/24、/24网段。

R2配置R2配置OSPF，宣告/24网段，其G0/0/2口应属区域2，配置待修正。

R3配置R3配置OSPF，宣告/24网段，其G0/0/2口规划错误，应修正至区域2。操作过程：OSPF基本配置Area2区域的OSPF配置

01OSPF配置区域2涉及R2、R3、R4，R2的G0/0/3接口归区域2，网络/24。

02R2配置[R2]ospf1，[R2-ospf-1]area2，network55。

03R3配置[R3]ospf1，[R3-ospf-1]area2，network55。

04R4配置[R4]routerid，[R4]ospf1，[R4-ospf-1]area2，networks/32，/24，/24，/24。操作过程：测试配置正确性下面采用两种方法来判断路由配置十分正确操作过程：测试配置正确性使用ping命令进行连通性测试操作过程在R1路由器中，用ping命令从地址向地址发送数据包，测试网络连通性，结果显示5个数据包全部成功接收，无丢包，平均往返时间42ms。测试配置正确性通过在路由器R1上执行ping命令，验证了网络配置的正确性，参数"-a"指定源地址为，目标地址为，测试结果表明网络连通性良好，无丢包现象，证明配置准确有效。操作过程：测试配置正确性查看路由器的路由信息

查看路由器路由表使用displayiprouting-table命令,检查R1路由器全部路由,识别OSPF生成的路由条目。

筛选OSPF路由执行disiprouting-tableprotocolospf命令,仅展示由OSPF协议创建的路由信息。操作过程：引入默认路由

操作过程配置R5默认路由至，通过OSPF发布至其他路由器，验证R1路由表确认默认路由成功引入。

验证步骤在R1上执行displayiprouting-table，检查/0条目确认默认路由已通过OSPF发布。操作过程：引入默认路由步骤3测试引入的默认路由正确性

引入默认路由在外网路由器R6配置指向R5的默认路由，确保网络联通性。

联通性测试使用R1的ping命令带参数"-a"测试与R6的联通，确认默认路由有效。操作过程：配置备份路由R1的OSPF路由详情

配置备份路由在R1和R4上配置，利用两条链路至区域0，确保一条为主用，另一条为备用，实现链路冗余。OSPF路由展示R1的OSPF路由显示有多条到达同一目的地的路径，通过GigabitEthernet0/0/0和GigabitEthernet0/0/2接口，成本相同，需设定优先级。操作过程：配置备份路由调整R1主备链路策略

操作过程通过增加R1至R3链路开销值，使R1至R2链路成为主链路，操作含查看、修改开销值及确认路由信息。

步骤详解步骤1查看默认开销值，步骤2修改G0/0/2接口开销至10，步骤3确认路由下一跳指向R2，R3路由消失。操作过程：指定OSPF区域中的DR和BDR

指定DR和BDR配置OSPF区域，确保R5为DR，R2为BDR，通过优先级和延迟选举调整实现指定角色。

配置策略管理员需调整路由器优先级，设置合理的DeadInterval，防止非期望路由器成为DR或BDR，确保网络稳定性。操作过程：指定OSPF区域中的DR和BDR查看区域中的DR和BDR

01查看邻居信息判断DR和BDR通过R5的邻居信息显示，确认R2为DR，R5为BDR，状态Full，模式Slave，优先级1。

02通过接口信息判断DR和BDRR5的G0/0/0端口信息显示，DR为的R2，BDR为R5自身，状态BDR，类型Broadcast。操作过程：指定OSPF区域中的DR和BDR指定DR和BDR

01OSPFDR/BDR选举规则优先级0-255决定选举，高优先级、大RouterID优先，缺省优先级1，非抢夺性，稳定后不变，除非重启。

02修改优先级实现DR/BDR指定通过命令"ospfdr-priority"修改接口优先级，R5设为20，R2设为10，需重启设备或OSPF进程，确保期望的DR/BDR配置生效。THEEND谢谢08利用路由器实现网络数据的筛选学习访问控制列表基本原理01访问控制列表简介与设计要点

访问控制列表简介ACL利用三层技术高效控制数据，依据IP地址等信息过滤、分类和删除数据，实现网络访问控制。

设计要点设计ACL配置时需考虑检查过滤数据包、控制路由流量、匹配NAT流量及策略路由，确保网络管理高效灵活。

自上而下的处理方式访问控制列表配置默认有序列号排序，需考虑语句顺序，匹配范围由小到大，一条规则匹配成功后不再匹配后续语句。

添加表项添加的语句一般自动放入控制列表末尾，也可在语句前放置序号提前放置，但不能覆盖已存在序号。访问控制列表简介与设计要点访问控制列表放置位置基本访问控制列表放置在距离目的节点较近位置，高级访问控制列表放置在离源地址较近位置。应用方向访问控制列表应用在路由器接口，分为对进入接口数据匹配和对离开接口数据匹配。注意事项所有规则不匹配时，普通数据路由转发，Telnet和路由过滤数据不允许转发，需有效设计语句。数据匹配（反掩码）

ACL命令解析反掩码是网络地址后的反向数字串，1对应位可不匹配，0对应位须完全匹配，32位运算告知路由器匹配地址位。

网络地址与反掩码网络地址通过网络号与掩码运算确定范围，同一范围内为局域网用户，ACL用反掩码精细确定需过滤用户。

反掩码与网络号的关系反掩码与网络号完全相反，掩码对应网络地址得网络范围，反掩码对应网络地址可匹配筛选范围。访问控制列表的类型

访问控制列表类型访问控制列表分为基本、高级和二层类型。基本ACL匹配源IP等，高级ACL匹配源/目的IP、端口等，二层ACL匹配MAC地址等。

访问控制列表编号范围基本访问控制列表号2000~2999，高级3000~3999，二层4000~4999。访问控制列表配置应用方法02学习情境

学习情境小张跟随王师傅指导，于模拟器实践网络拓扑搭建，深入掌握访问控制列表配置技巧及差异。

实践内容重点学习访问控制列表基础，体验不同类型的配置流程，理解其功能与应用区别。子任务1利用基本ACL实现数据筛选：搭建网络拓扑

网络拓扑与配置目标使用图8-2网络拓扑演示基本ACL应用，通过路由器过滤数据，仅允许管理员计算机PC1访问服务器。子任务1利用基本ACL实现数据筛选：搭建网络拓扑计算机和路由器接口的网络参数

网络拓扑搭建通过R1与R2的G0/0/0接口互联，E1/0/0与G0/0/1连接不同网段，PC1、PC2及Server1接入相应网段，配置IP与网关实现通信。

设备接口参数R1的G0/0/0与E1/0/0，R2的G0/0/0与G0/0/1设定IP地址，PC1、PC2、Server1配置IP与默认网关，确保网络连通性。子任务1利用基本ACL实现数据筛选：配置网络参数配置R1的接口地址

进入R1的GigabitEthernet0/0/0接口，配置IP地址24；进入Ethernet1/0/0接口，配置IP地址25。配置R2的接口地址

R2的GigabitEthernet0/0/0接口地址为/24，GigabitEthernet0/0/1接口地址为/24。子任务1利用基本ACL实现数据筛选步骤3配置路由在路由器R1和R2上配置静态路由确保全网通信，R1配置24网段路由指向，R2配置24网段路由指向。测试网络通信主要测试两台计算机能否访问服务器，如果配置没有错误，应该是能够正常访问，测试过程请读者自行操作。子任务1利用基本ACL实现数据筛选：配置基本ACL

配置基本ACL配置基本ACL，允许PC1访问服务器，基于源IP过滤，应用于R1的G0/0/1接口出站方向。子任务1利用基本ACL实现数据筛选：配置基本ACL编写基本ACL规则

子任务1创建基本ACL2000，允许源IP0数据，随后规则拒绝所有其他数据，确保非特许数据无法通过。子任务1利用基本ACL实现数据筛选：配置基本ACL应用基本ACL于路由器接口将基本ACL应用到路由器R1的G0/0/1接口出去的方向，命令为[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl2000。子任务1利用基本ACL实现数据筛选：配置基本ACL测试与查看信息

子任务1配置基本ACL，允许源地址0访问，拒绝其他，共匹配23个数据包。

测试通信PC1与Server1通信正常，PC2与Server1通信中断，验证ACL效果。子任务2利用基本ACL控制Telnet数据筛选Telnet登录控制通过基本ACL限制特定计算机远程登录R1，保障网络安全，精准控制Telnet数据流。ACL配置位置不同于普通数据流，Telnet控制的ACL需配置于R1的VTY入站方向，精确管理远程登录源。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

开启R1的VTY设置VTY接口，配置登录密码为"huawei"，限制远程访问安全。

测试Telnet登录在R2与PC3上尝试Telnet登录R1，验证ACL效果，确保数据筛选准确。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

在R2上登录R1在R2上执行telnet命令，尝试连接后进行登录认证，输入密码后成功登录到R1。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY在PC3上登录R1

Telnet登录R1PC3成功Telnet至R1,显示登录认证界面,输入密码后登录成功。配置基本ACL目标为仅许可PC3使用Telnet访问R1,需设定相应ACL规则。子任务2利用基本ACL控制Telnet数据筛选

配置基本ACL在路由器R1上配置ACL2001，规则5允许源0，规则10拒绝所有源，应用到VTY0-4入站方向。子任务2利用基本ACL控制Telnet数据筛选：测试R2尝试登录R1失败R2尝试telnet登录，提示不能连接到远程主机，登录失败。PC3成功登录R1PC3通过telnet连接，尝试连接后成功建立连接，经登录认证输入密码，最终登录R1成功。ACL配置影响R2无法用Telnet命令登录R1，PC3可以，说明配置的ACL生效。子任务3利用高级ACL实现数据筛选

高级ACL应用针对复杂需求，如特定计算机访问权限控制，高级ACL提供详细规则制定，实现精准数据筛选。

基本ACL局限仅源地址匹配，无法满足精细化管理，如限制特定类型数据或特定计算机访问，需升级至高级ACL策略。子任务3利用高级ACL实现数据筛选

搭建网络拓扑因eNSP模拟器PC不支持ftp命令，用路由器模拟计算机，修改图8-2网络拓扑，以两台路由器替代PC1和PC2（图8-4）。子任务3利用高级ACL实现数据筛选：配置高级ACL步骤1配置网络参数

网络配置按表8-4配置IP参数，确保全网通信，PC1、PC2设默认路由至。

高级ACL利用高级ACL实现数据筛选，具体配置步骤需读者自行操作。子任务3利用高级ACL实现数据筛选：配置高级ACL步骤2配置ACL规则

高级ACL配置利用源IP、目的IP、协议、端口精确过滤数据，R2上设ACL，近源应用。

FTP访问控制允许PC1FTP(21,20端口)访问Server1，拒其他设备，允所有设备pingServer1。子任务3利用高级ACL实现数据筛选：测试

FTP服务器配置双击Server1图标，选“服务器信息”标签，“FtpServer”菜单，“配置”窗口指定“文件根目录”，创建主文件夹后点击“启动”按钮。子任务3利用高级ACL实现数据筛选：测试PC1的FTP访问测试PC1FTP测试成功连接至0，登录FTP服务器，执行dir命令展示WebServer.html文件详情，传输速率663.63bytes/sec。FTP服务验证PC1使用ftp命令登录Server1的FTP服务，验证高级ACL数据筛选功能正常，文件传输稳定。子任务3利用高级ACL实现数据筛选：测试PC2的FTP访问测试在PC2上测试FTP访问0，显示尝试连接后失败，无法登录远程主机。子任务3利用高级ACL实现数据筛选：测试Ping命令访问Server1

ping测试PC1与PC2成功ping通Server1，验证ACL规则有效，数据传输符合预期。ACL位置策略高级ACL置于R2近源接口，优化数据流，减少无效传输，提升整体网络效率。THEEND谢谢09实现内部网络与互联网的互访

NAT技术缓解公网地址短缺NAT技术作用NAT技术缓解公网地址耗尽，允许机构以单个公网IP出现在互联网，将私有IP转换为合法公网IP。

NAT技术原理NAT通过翻译内部私有网络地址至合法公网IP地址，实现多个设备共享单一公网IP访问互联网。学习NAT基本知识01NAT简介

NAT的工作原理与作用NAT是转换IP地址的过程，用于私网访问公网，部署在网关，转换源私网地址为公有地址，创建NAT映射表判断报文私网目的地址。

NAT简介：私有IP与公网IP的区别私有IP地址定义与使用私有IP地址是内部网络使用且不会出现在外部网络的IP地址，无需申请即可在公司或企业内部自由使用。

公网IP地址定义与使用公网IP地址是外部网络应用且全球唯一的IP地址，需向专门管理机构申请，互联网数据包通常利用其传输。

私有IP地址块RFC1918预留3个私有IP地址块：A类～55，B类～55，C类～55。

IPv4与IPv6现状尽管IPv4地址将耗尽且IPv6已全面推广，但大量公司内部网络仍为IPv4架构，互联网大部分也使用IPv4。NAT简介

NAT分区与安全增强NAT将网络划分为Inside私有区域和Outside公有区域，启用后内网可访问外网，且外网无法直接访问内网资源，提高内网安全性。

NAT的地址类型

NAT地址分类概述NAT技术中对地址转换所用地址有详细描述及定义，有助于理解私有与公有地址转换方法及过程，总体分为4类。

内部本地IP地址定义内部本地IP地址是内部主机使用的私有IP地址，用于内部网络中的连通，通常为私有地址。

内部全局IP地址定义内部全局IP地址是内部主机使用的公网IP地址，用于外部网络路由，通常为公有地址。

IP地址分类定义外部本地IP：内部网络中外部主机IP，用于内部路由，双向NAT时配置。外部全局IP：外部网络中外部主机IP，用于外部路由，双向NAT时配置。NAT的基本应用类型NAT基本应用将IP地址从一个转换为另一个，适用于源或目的地址。NAT技术分类分为静态NAT和动态NAT，后者更细分为基于端口的NAT，动态NAT在实际中应用广泛。静态NAT静态NAT是私有IP与公网IP一对一固定转换，可实现外部访问内部特定设备，配置需定义转换地址并在接口配置NAT。动态NAT动态NAT是私有IP地址随机转换为指定合法公网IP地址的方式，适用于合法IP地址略少于内部计算机数量的情况。网络地址端口转换NAPT动态NAT的局限性动态NAT任意时刻一个公网IP仅转换一个私有IP，内网设备数量大于公网IP时无法保证所有设备同时上网。NAPT的工作原理RTA接收私网报文，选公网IP和端口建NAPT表项映射，转换源地址端口后转发，收到回复按映射转换转发给主机。NAPT的优势NAPT能最大限度节约IP地址资源，隐藏网络内部所有主机，有效避免外网攻击，是目前网络中应用最多的方式。静态NAT的应用02

学习情境学习情境小张受王师傅指导，为部门电脑配独立公网IP，推荐用静态NAT实现互联网访问。

技术应用静态NAT确保内部IP与外部IP稳定映射，实现单机公网访问需求。操作过程：搭建网络拓扑

搭建网络拓扑网络拓扑如图9-3所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑配置网络设备参数

网络设备配置详细列出各设备接口、IP地址及网关，包括R1、ISP路由器，两台PC和两台FTP服务器，构建完整网络拓扑。

IP地址分配为所有网络设备分配特定IP地址，如R1的G0/0/0接口使用54/24，确保网络通信正常。配置网络参数操作过程：配置计算机网络参数PC0接口Eth1/0/0设IP,配置默认路由指向54。演示配置过程通过命令行界面逐步配置PC0网络参数，包括IP地址和网关。步骤2配置PC1的网络参数进入PC1的GigabitEthernet0/0/0接口，配置IP地址24，配置静态网关54，完成后测试直连设备通信。操作过程：配置路由器的接口和路由步骤1配置路由器R1

配置路由器R1接口G0/0/0设为54/24，G0/0/1设为/8。

配置默认路由R1设置默认路由指向。

配置路由器ISP接口ISP的G0/0/0设为54/24，G0/0/1设为/8。

测试内外网连通性PC0尝试ping，显示100%丢包，因ISP无回程路由。

操作过程：利用静态NAT实现内网指定设备访问外网静态NAT配置申请公网IP0，配置于路由器R1，实现PC0通过此地址访问外网。

操作目标使内网设备PC0能以静态NAT方式，使用0公网IP访问外部网络资源。操作过程：利用静态NAT实现内网指定设备访问外网

步骤1配置静态地址转换静态NAT配置在R1的G0/0/1接口配置静态NAT，公有IP0映射内网PC0的私有IP，实现一对一固定映射。配置验证displaynatstatic显示G0/0/1接口的静态NAT信息，确认0与的转换。测试结果PC0能访问外网，ping成功；Server1和Server2因未配置公网IP，无法访问外网，体现静态NAT一对一映射特性。静态NAT配置操作过程：利用静态NAT实现外网访问内网指定服务器

实现外网通过0访问内网FTPServer1，需配置静态NAT，隐藏内网地址，满足特定访问需求。测试验证

在外网PC1上ping内网地址失败，ping转换后的公网IP成功，证实NAT配置有效，需进一步配置NATServer及ALG功能。操作过程：利用静态NAT实现外网访问内网指定服务器配置NATServer配置静态NAT在GigabitEthernet0/0/1接口下，配置基于TCP协议的静态NAT，将外网0的FTP服务映射到内网的FTP服务。启用NATALG退出接口视图后，全局启用NATALG功能，确保FTP服务的正确传输和解析。操作过程：利用静态NAT实现外网访问内网指定服务器查看NATServer信息

01操作过程通过GigabitEthernet0/0/1接口，将外网0的FTP流量映射至内网服务器，协议为TCP，配置已生效。

02配置信息显示NAT服务器信息，包括接口、全球IP/端口、内部IP/端口、协议、总配置数，确认静态NAT配置正确。操作过程：利用静态NAT实现外网访问内网指定服务器

步骤2测试启动FTP服务启动FTPServer1服务器的FTP服务，确保服务正常运行，如图9-6所示。利用ftp命令测试在外网计算机PC1上使用ftp命令尝试连接内网IP地址0的FTPServer1，成功登录并隐藏内网地址信息。动态NAT的应用03学习情境

王师傅让小张为某部门的多台计算机使用两个公网IP地址访问外网，建议小张使用动态NAT来实现此操作操作过程：搭建网络拓扑搭建网络拓扑网络拓扑如图9-7所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑配置网络参数

网络设备配置详细列出各设备接口、IP地址及网关，R1双接口独立网络，ISP连接不同网段，PC系列统一网关。PC配置PC1至PC4配置各异，特别PC1使用公网IP，其余在私网，共享同一网关54。操作过程网络参数配置指南请读者根据表9-3自行配置相关网络参数，这里不再演示。

操作过程：利用动态NAT实现内网访问外网利用公网IP地址0/24至0/24实现动态地址转换操作过程：利用动态NAT实现内网访问外网步骤1配置路由

配置默认路由在R1上设置默认路由至ISP:iproute-static,配置后内外网应不通。

配置动态NAT创建NAT地址池0-20,配置ACL允许网段使用,在GigabitEthernet0/0/1启用no-pat动态转换。操作过程：利用动态NAT实现内网访问外网步骤3测试

PC2访问外网测试成功发送5个数据包至,往返时间31-62ms,无丢包,证实PC2可访问外网。

PC3访问外网测试向发送5次ping请求,往返时间31-62ms,无数据包丢失,确认PC3外网连通性。

PC4访问外网测试PC4向发送5个数据包,往返时间47-62ms,无丢包现象,表明PC4能访问外网。

动态NAT限制动态NAT下,每公网IP仅限一台内网设备使用,IP不足时需用NPAT实现多设备共享访问。网络地址端口转换NPAT应用04

学习情境网络访问问题使用NPAT解决因公网地址不足导致的内部多台电脑无法同时上网问题。

技术应用通过网络地址端口转换，有效扩展有限的公网IP，保障所有内部计算机可同时访问互联网。操作过程操作过程沿用任务3基础配置，重新配置地址转换命令，实现网络地址端口转换。

操作过程：配置地址转换配置地址池配置地址池，仅含公网IP地址0，命令为[R1]nataddress-group100。

配置基本ACL配置基本ACL，规则5允许源地址为/24网段的流量通过。

配置NPAT进入接口GigabitEthernet0/0/1，执行natoutbound2000address-group1命令配置NPAT，该命令比动态地址转换少no-pat。操作过程：配置地址转换查看配置结果

配置结果查看通过命令displaynatoutbound，显示NAT外出信息，确认接口GigabitEthernet0/0/1使用ACL2000，动态转换类型为PAT，总计1条记录。

动态转换类型配置结果表明，当前的动态地址转换类型为PAT（PortAddressTranslation）。操作过程测试内网计算机通过ping命令检测与外网PC1连通性，单公网IP下均能有效通信，表明NPAT是广泛应用技术，建议自行实践。THEEND谢谢10广域网接入技术计算机网络分类概述网络分类按地理范围分：局域网(LAN)、广域网(WAN)、城域网(MAN)，分别覆盖几米至数千米、几十至几千千米、几十千米，适应不同规模需求。局域网特性局域网适用于办公室、实验室、校园等近距离计算机互联，实现资源共享与信息传递。广域网应用广域网覆盖国家、地区乃至洲际，如ChinaDDN、PSDN，支持长距离通信，需借助交换机与多种通信方式。城域网定位城域网介于LAN与WAN间，覆盖城市规模，提供高速网络连接，弥补两者距离限制。广域网必要性当主机间距离远超局域网能力时，广域网成为必需，通过交换机与点对点线路，如租用线路、光纤、微波、卫星，实现远程通信。学习广域网接入的基本知识01任务1学习广域网接入的基本知识

广域网定义运营商提供技术，使用户间相互通信，包括专线、PSTN、DSL等，旨在实现数据交流。

网络封装技术本章讲解基础网络封装技术，用于广域网数据传输，确保信息准确无误地到达目的地。几种常用的广域网接入方式

专线原始专线点对点连接限制网络扩展、增加运营成本，目前多采用复用或VPN利用已有线路互联，数据使用时可自行断网减费。

帧中继技术帧中继是基于专线的新广域网技术，采用动态网络与DLCI号通信，用户申请后无需增线即可通信，运营商可动态切换保障访问。几种常用的广域网接入方式：点对点协议

PPP协议简介PPP协议是IETF推出的点对点线路数据链路层协议，解决了SLIP中的问题，成为正式因特网标准。

PPP协议的特性与应用PPP支持多种物理线路传输上层协议报文，具备多协议、身份认证等丰富特性，应用广泛。广域网常用技术术语

DLCI标识符帧中继用DLCI标识DTE与交换机虚电路，关联两端，6位标识客户服务器连接，用于RFCOMM层，是地址字段重要部分，长度10/16/23bit，标识PVC、呼叫控制或管理信息。

本地管理接口（LMI）LMI是用户设备与帧中继交换机的沟通信令，通告检测链路状态，确认PVC可用，有ANSI、Cisco、Q933A三种信令。广域网常用技术术语：虚电路01虚电路建立与数据传输虚电路方式广域网通信前需建立逻辑连接，数据传输时报文含虚电路号，结束后释放虚电路。02虚电路号的选择与局部意义虚电路方式中，机器选未使用虚电路号标识并填虚电路表，虚电路号仅具局部意义，传输中会变化。03虚电路信息的登记与数据传送虚电路建立后，各交换机虚电路表登记该电路信息，通信时根据数据报文中虚电路号查找虚电路表确定输出线路传送数据。04虚电路的释放与资源回收数据传输结束需释放虚电路表空间，由任意一方发送撤除虚电路报文，清除沿途交换机虚电路表相关项。PPP连接02PPP的认证方式

PPP认证方式PAP与CHAP，前者明文传输，节省带宽但不安全；后者三次握手，MD5加密，更安全。

PAP认证流程被认证方明文发送用户名密码，主认证方本地数据库比对，简单但易泄露。

CHAP认证流程主认证方发起，被认证方MD5加密回应，再次比对确认，过程安全复杂。PPP的认证方式：密码验证协议（PAP）

PAP协议简介PAP是一种不安全的身份验证协议，需用户密码访问安全系统，用户名和密码通过线路发送到服务器验证，易受窃听攻击。

PAP的安全风险多数情况不建议使用PAP，因其密码易从PPP数据包中读取。禁用PAP可提高安全性，但仅支持PAP的客户端无法连接。PPP的认证方式：挑战握手验证协议（CHAP）CHAP防回放攻击机制CHAP用唯一不可预知挑战数据防回放攻击，以MD5加密发送数据，具时效性和不可复制性，区域服务器可控制挑战消息频率和时间。CHAP与PAP对比CHAP用3次握手定期审查认可，链路建立时完成且可重复，较PAP更有效；PAP仅一次认证易被重放，允许客户端发起易遭攻击。CHAP认证流程PPP链路建立后，服务器发挑战消息，远端回送响应值，服务器验证，吻合则认证通过，否则链路终止。配置PPP连接的加密认证

学习情境小张在学习了PPP技术理论后，根据王师傅的建议在模拟器上对两台路由器进行实验，并且验证相关操作。配置PPP连接的加密认证：操作过程搭建网络拓扑网络拓扑如图10-4所示，两台路由器为AR2220，请读者根据拓扑图在模拟器上搭建网络拓扑。配置设备的IP地址根据图10-4配置路由器IP地址，完成后测试两台路由器间通信，此时应可通信，过程由读者自行操作，此处不演示。配置PPP连接的加密认证：操作过程配置PAP认证

配置R1设置用户名tuser，密码cipherhuawei，PPP协议，PAP认证，接口Serial1/0/0。配置R2仅需配置PPP封装，使用用户名tuser，密码cipherhuawei于Serial1/0/0接口。测试通信成功ping通R1IP，显示认证有效，修改R2密码后，ping失败，验证密码匹配重要性。配置PPP连接的加密认证：操作过程配置CHAP认证

配置PPP连接的加密认证采用CHAP认证替代PAP，配置用户名tuser，密码cipherhuawei，于R1与R2间实现安全PPP连接，确保通信安全，需双方配置一致，测试通信状态确认认证成功。操作步骤详解步骤1：R1配置aaa，local-usertuser，service-typeppp，Serial1/0/0接口开启CHAP认证；步骤2：R2配置Serial1/0/0接口，设置pppchapuser及password；步骤3：测试ping命令，验证通信状态，确保认证有效。THEEND谢谢11网络设备的管理校园网设备维护指南校园网工程项目接近尾声，需培训管理员快速操作网络设备，确保正常运行，提升管理效率。网