高级交换与路由技术

项目一PVLAN技术与应用2知识目标、技能要求1．了解PVLAN概念；2．掌握PVLAN特性及其配置技能；3．掌握小型网络一般调试技能及故障排除方法。项目一PVLAN技术与应用31.1问题提出

二层网络上隔离用户或者隔离广播，我们可以将一组设备加入到一个VLAN中，但是VLAN的最大个数只有4094。VLAN的解决方案，服务提供商需要为一个客户分配一个子网地址，这种情况导致了IP地址的浪费。项目一PVLAN技术与应用1.2相关知识1．PVLAN概述PVLAN是PrivateVLAN的缩写，即私有VLAN。PVLAN是能够为相同VLAN内不同端口提供隔离的VLAN。隔离相同VLAN中的网络设备之间的流量，并且位于相同子网的所有设备都只能与网关或其他网络进行通信，实现网络内部的隔离。4项目一PVLAN技术与应用5项目一PVLAN技术与应用2．PVALN构成

将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：主VLAN和辅助VLAN。

（1）主VLAN：每个PVLAN中只有一个主VLAN。

（2）辅助VLAN：PVLAN中的子VLAN，每台接入设备都连接到辅助VLAN中。6项目一PVLAN技术与应用辅助VLAN分为两种类型：（1）隔离VLAN：同一个隔离VLAN中的端口互相不能进行二层通信，但可以与主VLAN中的端口通信。（2）团体VLAN：同一个团体VLAN中的端口可以进行二层通信，可以与主VLAN中的端口通信。（3）辅助VLAN之间不能通信。7项目一PVLAN技术与应用3.PVLAN中的端口分类：（1）混杂端口：为主VLAN中的端口，可以与任意端口通信。（2）隔离端口：为隔离VLAN中的端口，隔离端口只能与混杂端口进行通信。（3）团体端口：为团体VLAN中的端口，同一个团体VLAN中的端口之间可以互相通信，并且团体端口可以与混杂端口通信。8项目一PVLAN技术与应用9项目一PVLAN技术与应用104．配置PVLAN第1步：创建主VLAN与辅助VLAN。第2步：关联辅助VLAN到主VLAN。第3步：将辅助VLAN映射到主VLAN的三层端口。第4步：配置主机端口（HostPort）。第5步：配置混杂端口。项目一PVLAN技术与应用（1）创建主VLAN与辅助VLAN设置PVALN类型命令如下：11项目一PVLAN技术与应用设置VLAN99为PrimaryVLAN、VLAN100为CommunityVLAN、VLAN101为IsolatedVLAN

ruijie(config)#VLAN99ruijie(config-VLAN)#private-VLANprimaryruijie(config-VLAN)#exitruijie(config)#VLAN100ruijie(config-VLAN)#private-VLANcommunityruijie(config-VLAN)#exitruijie(config)#VLAN101ruijie(config-VLAN)#private-VLANisolatedruijie(config-VLAN)#exitruijie(config)#12项目一PVLAN技术与应用显示PVLAN配置情况如下：ruijie#showVLANprivate-VLANVLANTypeStatusRoutedInterfaceAssociatedVLANs-----------------------------------------------99primaryinactiveDisabled100communityinactiveDisabledNoAssociation101isolatedinactiveDisabledNoAssociation13项目一PVLAN技术与应用（2）关联主VLAN到辅助VLAN14项目一PVLAN技术与应用将SecondaryVLAN中的CommunityVLAN类型的VLAN100、IsolatedVLAN类型的VLAN101关联到作为PrimaryVLAN的VLAN99中ruijie(config)#VLAN99ruijie(config-VLAN)#private-VLANassociation100,10115项目一PVLAN技术与应用16（3）将辅助VLAN映射到主VLAN的SVI端口项目一PVLAN技术与应用17VLAN99为主VLAN且SVI的IP地址为192.168.1.1，将辅助VLAN（VLAN100、VLAN101）映射到主VLAN的三层端口上。ruijie(config)#interfaceVLAN99ruijie(config-if)#ipaddress192.168.1.1255.255.255.0ruijie(config-if)#private-VLANmapping100-101项目一PVLAN技术与应用（4）配置主机端口18项目一PVLAN技术与应用（5）将主机端口关联到PrimaryVLAN和SecondaryVLAN19项目一PVLAN技术与应用将主机端口Fa0/10关联到作为主VLAN的VLAN99和作为团体VLAN的VLAN100上ruijie(config)#interfaceFastEthernet0/10ruijie(config-if)#switchportmodeprivate-VLANhostruijie(config-if)#switchportprivate-VLANhost-association9910020项目一PVLAN技术与应用（6）配置混杂端口（PromiscuousPort）21项目一PVLAN技术与应用配置FastEthernet0/1为PromiscuousPortruijie(config)#interfaceFastEthernet0/1ruijie(config-if)#switchportmodeprivate-VLANpromiscuous22项目一PVLAN技术与应用（7）将混杂端口关联到PrimaryVLAN和SecondaryVLAN上23项目一PVLAN技术与应用配置Fa0/1为PromiscuousPort，并且关联到主VLAN（VLAN99）、团体VLAN（VLAN100）和

隔离VLAN（VLAN101）ruijie(config)#interfaceFastEthernet0/1ruijie(config-if)#switchportmodeprivate-VLANpromiscuousruijie(config-if)#switchportprivate-VLANmapping99add100-10124项目一PVLAN技术与应用（8）显示PVLAN配置信息25项目一PVLAN技术与应用26结束项目一PVLAN技术与应用项目二多生成树协议MSTP电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日28知识目标、技能要求1．了解MSTP概念；2．掌握MSTP特性及其配置技能；3．掌握小型网络一般调试技能及故障排除方法。项目二多生成树协议MSTP292.1问题提出RSTP能够避免网络出现广播风暴问题。发现公司的网络流量都集中在一台根交换机上，所有链路都以它为中心向外拓展，另一台非根交换机工作量较少，负载明显不平衡。项目二多生成树协议MSTP2.2相关知识1．MSTP概述MSTP（MultipleSpanningTreeProtocol，多生成树协议）是在传统的STP、RSTP的基础上发展而来的新的生成树协议。MSTP遵循的标准是IEEE802.1S。能够解决VLAN对环路影响及负载均衡问题。30项目二多生成树协议MSTP31项目二多生成树协议MSTP环路问题32项目二多生成树协议MSTP链路故障2．MSTP的区域与实例33项目二多生成树协议MSTP区域1区域23．MSTP的多种生成树（1）实例生成树（MSTI）（2）区域生成树（IST）（3）区域间生成树（CST）（4）CIST生成树。34项目二多生成树协议MSTP35项目二多生成树协议MSTP36项目二多生成树协议MSTP4．MSTP配置（1）启动生成树协议（2）设置生成树协议类型37项目二多生成树协议MSTP（3）配置区域属性38项目二多生成树协议MSTP进入MSTP配置模式39项目二多生成树协议MSTP关联VLAN与Instance40项目二多生成树协议MSTP定义MST名称41项目二多生成树协议MSTP定义MST修正号42（4）设置实例的交换机优先级项目二多生成树协议MSTP43项目二多生成树协议MSTP（5）配置实例的端口优先级（6）显示MSTP配置44项目二多生成树协议MSTP5．应用实例要求：（1）创建2个实例Instance1和Instance2，将实例Instance1与VLAN10关联，将实例Instance2与VLAN20关联。（2）SW1为实例Instance1的根交换机，SW2为实例Instance2的根交换机。45项目二多生成树协议MSTP46项目二多生成树协议MSTP（1）配置交换机SW1SW1(config)#Spanning-treeSW1(config)#Spanning-treemodemstpSW1(config)#spanning-treemstconfigurationSW1(config-mst)#revision1SW1(config-mst)#nametest1SW1(config-mst)#instance1VLAN10SW1(config-mst)#instance2VLAN2047项目二多生成树协议MSTPSW1(config)#Spanning-treemst1Priority4096（2）配置交换机SW2SW2(config)#Spanning-treeSW2(config)#Spanning-treemodemstpSW2(config)#spanning-treemstconfiguration48项目二多生成树协议MSTPSW2(config-mst)#revision1SW2(config-mst)#nametest1SW2(config-mst)#instance1VLAN10SW2(config-mst)#instance2VLAN20SW2(config)#Spanning-treemst2Priority409649项目二多生成树协议MSTP（3）配置交换机SW3SW3(config)#Spanning-treeSW3(config)#Spanning-treemodemstpSW3(config)#spanning-treemstconfigurationSW3(config-mst)#revision1SW3(config-mst)#nametest1SW3(config-mst)#instance1VLAN10SW3(config-mst)#instance2VLAN2050项目二多生成树协议MSTP51项目二多生成树协议MSTP52项目二多生成树协议MSTP53结束项目二多生成树协议MSTP项目三虚拟路由器冗余协议VRRP电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日55知识目标、技能要求1．了解VRRP协议；2．掌握VRRP特性及其配置技能；3．掌握小型网络一般调试技能及故障排除方法。项目三虚拟路由器冗余协议VRRP563.1问题提出网络中默认网关的路由器出现故障，所有使用该路由器作为默认网关的主机必然因网关故障而通信中断。如果配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。

解决默认网关自动切换问题。项目三虚拟路由器冗余协议VRRP3.2相关知识1．VRRP概述VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）是一种网关备份冗余解决方案。

它实现Ethernet网上默认网关冗余备份。如果其中一台网关设备宕机时，备份网关设备能够及时自动切换并接管转发工作。57项目三虚拟路由器冗余协议VRRP58项目三虚拟路由器冗余协议VRRP59项目三虚拟路由器冗余协议VRRP2．VRRP状态（1）Initialize状态

路由器不会对VRRP报文做任何处理（2）Master状态

发送及响应ARP报文，转发IP数据包（3）Backup状态

接收Master发送的VRRP报文3．VRRP选举机制

比较路由器的优先级进行选举，优先级高的路由器将成为主路由器，其他路由器都为备份路由器。

IP地址拥有者将具有最高的优先级255。

默认情况下，VRRP路由器的优先级为100。

当优先级相同时，VRRP将通过比较IP地址，IP地址大的路由器将成为主路由器。60项目三虚拟路由器冗余协议VRRP61项目三虚拟路由器冗余协议VRRP62项目三虚拟路由器冗余协议VRRP4．VRRP定时器（1）通告定时器（adver-timer）

定义通告间隔，默认为1秒。在主路由器中使用。（2）主路由器失效定时器（master-down-timer）

定义主路由器失效间隔，是通告间隔的3倍，默认为3秒。在备份路由器上使用。63项目三虚拟路由器冗余协议VRRP5．VRRP基本配置（1）创建VRRP组64项目三虚拟路由器冗余协议VRRPRouter1(config)#interfaceFastEthernet0/1Router1(config-if)#ipaddress192.168.1.1255.255.255.0Router1(config-if)#vrrp10ip192.168.1.1Router2(config)#interfaceFastEthernet0/1Router2(config-if)#ipaddress192.168.1.2255.255.255.0Router2(config-if)#vrrp10ip192.168.1.165项目三虚拟路由器冗余协议VRRP66项目三虚拟路由器冗余协议VRRP（2）配置VRRP优先级67项目三虚拟路由器冗余协议VRRP68项目三虚拟路由器冗余协议VRRPRouter1(config)#interfaceFastEthernet0/0Router1(config-if)#ipaddress192.168.1.1255.255.255.0Router1(config-if)#vrrp10ip192.168.1.253Router1(config-if)#vrrp10priority120Router1(config-if)#vrrp20ip192.168.1.25469项目三虚拟路由器冗余协议VRRPRouter2(config)#interfaceFastEthernet0/0Router2(config-if)#ipaddress192.168.1.2255.255.255.0Router2(config-if)#vrrp10ip192.168.1.253Router2(config-if)#vrrp20ip192.168.1.254Router2(config-if)#vrrp20priority120706．VRRP负载均衡配置项目三虚拟路由器冗余协议VRRP71项目三虚拟路由器冗余协议VRRP7．VRRP的监控与维护72项目三虚拟路由器冗余协议VRRP73结束项目三虚拟路由器冗余协议VRRP项目四动态主机配置协议DHCP电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日75知识目标、技能要求1．了解DHCP工作原理；2．掌握DHCP特性及其配置技能。项目四动态主机配置协议DHCP764.1问题提出网络中一些公共场所，如酒店、会议室等需要为客户提供上网环境。需要提供IP地址、默认网关IP、DNS服务器IP等网络参数。项目四动态主机配置协议DHCP4.2相关知识1．DHCP概述DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）是一种在网络中常用的动态配置网络参数的技术，代替网络管理员手工配置及维护IP地址的工作。77项目四动态主机配置协议DHCP78项目四动态主机配置协议DHCPDHCP使用UDP传输协议从DHCP客户端到达DHCP服务器的报文使用目的端口号67从DHCP服务器到达DHCP客户端报文使用源端口号68。79项目四动态主机配置协议DHCPDHCP工作过程：发现阶段80项目四动态主机配置协议DHCP提供阶段81项目四动态主机配置协议DHCP选择阶段82项目四动态主机配置协议DHCP确认阶段83项目四动态主机配置协议DHCP2．配置DHCP服务器（1）启用DHCP服务器84项目四动态主机配置协议DHCP（2）定义DHCP排除地址范围DHCP服务器将不会分配192.168.12.100～19.2168.12.150范围内的IP地址。ruijie(config)#ipdhcpexcluded-address192.168.12.100192.168.12.15085项目四动态主机配置协议DHCP86项目四动态主机配置协议DHCP（3）配置DHCP地址池创建地址池87项目四动态主机配置协议DHCP定义地址范围88项目四动态主机配置协议DHCP定义一个名为mypool0的DHCP地址池，该地址池可分配地址范围为192.168.12.1-192.168.12.15。ruijie(config)#ipdhcppoolmypool0ruijie(dhcp-config)#network192.168.12.0255.255.255.24089项目四动态主机配置协议DHCP定义地址租期90项目四动态主机配置协议DHCP设置默认网关91项目四动态主机配置协议DHCP设置DNS服务器IP地址92项目四动态主机配置协议DHCP应用实例：定义一个地址池net172，地址池中的地址范围为172.16.1.0/24，默认网关为172.16.1.254，地址租期为30天。该地址池中除了172.16.1.2～172.16.1.100地址外，其余地址均为可分配地址。93项目四动态主机配置协议DHCPruijie(config)#ipdhcpexcluded-address172.16.1.2172.16.1.100ruijie(config)#ipdhcpexcluded-address172.16.1.252172.16.1.254ruijie(config)#ipdhcppoolnet172ruijie(dhcp-config)#network172.16.1.0255.255.255.0ruijie(dhcp-config)#default-router172.16.1.25494项目四动态主机配置协议DHCPruijie(dhcp-config)#dns-server172.16.1.253ruijie(dhcp-config)#lease3095项目四动态主机配置协议DHCP3．DHCP中继代理工作原理96项目四动态主机配置协议DHCP工作过程：（1）发现阶段（2）提供阶段（3）选择阶段（4）确认阶段97项目四动态主机配置协议DHCP4．配置DHCP中继代理（1）启用DHCP服中继代理98项目四动态主机配置协议DHCP（2）指定DHCP服务器的IP地址99项目四动态主机配置协议DHCP在全局模式下指定100项目四动态主机配置协议DHCP在接口模式下指定（优先）应用实例DHCP服务器与客户端分别位于不同子网，DHCP服务器IP地址为192.168.1.252。101项目四动态主机配置协议DHCP102项目四动态主机配置协议DHCP路由器配置如下：ruijie(config)#servicedhcpruijie(config)#interfacefastethernet0/0ruijie(config-if)#ipaddress172.16.1.1255.255.255.0ruijie(config-if)#iphelper-address192.168.1.252103项目四动态主机配置协议DHCP104结束项目四动态主机配置协议DHCP项目五AAA机制与RADIUS应用电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日106知识目标、技能要求1．了解AAA工作原理；2．掌握AAA特性及其配置技能。项目五AAA机制与RADIUS应用1075.1问题提出

计算机网络需要对登录的用户进行集中管理。

（1）对用户身份进行验证；

（2）对不同的用户赋予不同的权限；

（3）对用户进行记账管理。

项目五AAA机制与RADIUS应用5.2相关知识一、AAA工作机制1．AAA工作原理AAA是验证、授权和记账（AuthenticationAuthorizationandAccounting）的简称，它提供了对验证、授权和记账功能进行配置的一致性框架。108项目五AAA机制与RADIUS应用109项目五AAA机制与RADIUS应用110项目五AAA机制与RADIUS应用2．配置AAA过程第1步：在NAS设备上启动AAA功能、定义验证方法列表、应用验证方法列表等。第2步：配置RADIUS相关参数，包含指定RADIUS服务器的IP地址、NAS设备与RADIUS服务器之间的密码等参数。第3步：配置授权、记账等相关参数。111项目五AAA机制与RADIUS应用

配置AAA的验证功能在NAS设备上，配置验证功能需要如下步骤。第1步：启用AAA安全模型。第2步：定义身份验证方法列表。第3步：应用身份验证方法列表。112项目五AAA机制与RADIUS应用（1）启用AAA安全模型113项目五AAA机制与RADIUS应用（2）定义身份验证方法列表114项目五AAA机制与RADIUS应用在线路2上对login行为首先使用方法列表test进行身份验证；如果失败使用本地验证。ruijie(config)#aaanew-modelruijie(config)#usernameruijiepasswordkey123ruijie(config)#aaaauthenticationlogintestgroupradiuslocalruijie(config)#linevty2ruijie(config-line)#loginauthenticationtest115项目五AAA机制与RADIUS应用（3）应用身份验证方法列表Login行为应用方法列表在交换机线路line0-4上对Telnet登录的用户进行AAA本地身份验证116项目五AAA机制与RADIUS应用117项目五AAA机制与RADIUS应用交换机上进行配置ruijie(config)#aaanew-modelruijie(config)#usernameruijiepasswordkey123ruijie(config)#aaaauthenticationlogintestlocalruijie(config)#interfaceVLAN1ruijie(config-if)#ipaddress192.168.1.1255.255.255.0ruijie(config-if)#exitruijie(config)#linevty04ruijie(config-line)#loginauthenticationtestruijie(config-line)#end118项目五AAA机制与RADIUS应用计算机上进行登录验证C:\>telnet192.168.1.1username：ruijiePassword：key123ruijie>119项目五AAA机制与RADIUS应用PPP行为应用方法列表120项目五AAA机制与RADIUS应用在接口Serial2/0上对PPP协议用户进行AAA身份验证，首先进行RADIUS验证，如果失败则进行本地验证。121项目五AAA机制与RADIUS应用ruijie(config)#aaanew-modelruijie(config)#usernameruijiepasswordkey123ruijie(config)#aaaauthenticationppptestgroupradius

localruijie(config)#interfaceserial2/0ruijie(config-if)#encapsulationpppruijie(config-if)#pppauthenticationpaptest122项目五AAA机制与RADIUS应用Enable行为应用方法列表123项目五AAA机制与RADIUS应用Dot1x行为应用方法列表124项目五AAA机制与RADIUS应用二、RADIUS服务器

1.RADIUS概述

RADIUS是远程验证拨号用户服务（RemoteAuthenticationDial-InUserService）的简称，它是一种分布式的客户机/服务器系统，与AAA配合对试图连接的用户进行身份验证，防止未经授权的访问。125项目五AAA机制与RADIUS应用126项目五AAA机制与RADIUS应用验证过程127项目五AAA机制与RADIUS应用授权过程128项目五AAA机制与RADIUS应用计费过程2．RADIUS基本配置129项目五AAA机制与RADIUS应用（1）配置RADIUS服务器地址配置一个RADIUS安全服务器IP地址为192.168.12.1。ruijie(config)#radius-serverhost192.168.12.1130项目五AAA机制与RADIUS应用131项目五AAA机制与RADIUS应用（2）配置RADIUS服务器密码网络设备与RADIUS服务器之间联络的验证密码为key123。ruijie(config)#radius-serverkeykey123132项目五AAA机制与RADIUS应用133项目五AAA机制与RADIUS应用定义RADIUS服务器组134项目五AAA机制与RADIUS应用将RADIUS服务器加入到服务器组中135项目五AAA机制与RADIUS应用将预先配置IP地址为192.168.12.1、172.16.1.1的RADIUS服务器加入到名称为RS的RADIUS服务器组中。ruijie(config)#radius-serverhost192.168.12.1ruijie(config)#radius-serverhost172.16.1.1ruijie(config)#aaagroupserverradiusRSruijie(config-gs-radius)#radius-serverhost192.168.12.1ruijie(config-gs-radius)#radius-serverhost172.16.1.1136结束项目五AAA机制与RADIUS应用项目六802.1X安全访问控制电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日138知识目标、技能要求1．了解802.1X验证体系构成及工作机制；2．掌握802.1X配置技能。项目六802.1X安全访问控制1396.1问题提出（1）针对用户进行集中身份进行验证；

（2）基于端口模式。

项目六802.1X安全访问控制6.2相关知识1．802.1X概述IEEE802.1X（Port-BasedNetworkAccessControl）是一个基于端口的网络访问控制标准。能够在Ethernet网络基础上，提供一种对连接到局域网设备的用户进行身份验证的手段。140项目六802.1X安全访问控制141项目六802.1X安全访问控制2．802.1X验证体系构成NAS142项目六802.1X安全访问控制143项目六802.1X安全访问控制

3．802.1X工作过程144项目六802.1X安全访问控制EAP中继模式145项目六802.1X安全访问控制EAP终结模式146项目六802.1X安全访问控制4．802.1X基本配置（1）AAA与RADIUS配置第1步：启用AAA功能147项目六802.1X安全访问控制第2步：配置RADIUS服务器IP地址第3步：设置交换机与RADIUS服务器通信密码148项目六802.1X安全访问控制149项目六802.1X安全访问控制第4步：定义802.1X验证方法列表150项目六802.1X安全访问控制（2）启用802.1X151项目六802.1X安全访问控制将交换机Fastethernet0/1端口设置为受控端口。ruijie(config)#interfacefa0/1ruijie(config-if)#dot1xport-controlauto152项目六802.1X安全访问控制（3）应用802.1X验证方法列表153项目六802.1X安全访问控制

在交换机Fa0/1及Fa0/10端口上实施802.1X验证功能。ruijie(config)#aaanew-modelruijie(config)#radius-serverhost192.168.217.64ruijie(config)#radius-serverkeykey123ruijie(config)#aaaauthenticationdot1xauthengroupradiusruijie(config)#dot1xauthenticationauthen154项目六802.1X安全访问控制ruijie(config)#interfacefa0/1ruijie(config-if)#dot1xport-controlautoruijie(config-if)#exitruijie(config)#interfacefa0/10ruijie(config-if)#dot1xport-controlauto155项目六802.1X安全访问控制（4）配置802.1X验证方式156项目六802.1X安全访问控制（5）配置EAPoL帧携带TAG157项目六802.1X安全访问控制（6）802.1X监控与维护查看802.1X的运行状态及配置信息：ruijie#showdot1x158项目六802.1X安全访问控制实例1：接入层交换机端口启用802.1X验证，实现对接入网络的用户进行控制。在接入交换机上配置159项目六802.1X安全访问控制ruijie(config)#aaanew-modelruijie(config)#aaaauthenticationdot1xtestgroupradiusruijie(config)#dot1xauthenticationtestruijie(config)#radius-serverhost192.168.1.200ruijie(config)#radius-serverkeykey123ruijie(config)#interfacefastethernet0/1ruijie(config-if)#dot1xport-controlautoruijie(config-if)#exitruijie(config)#interfacefastethernet0/6ruijie(config-if)#dot1xport-controlauto160项目六802.1X安全访问控制实例2：在汇聚层启用802.1X验证，实现对用户的验证。在接入交换机上配置ruijie(config)#aaanew-modelruijie(config)#aaaauthenticationdot1xtestgroupradiusruijie(config)#dot1xauthenticationtestruijie(config)#radius-serverhost192.168.1.200ruijie(config)#radius-serverkeykey123ruijie(config)#interfacefastethernet0/24ruijie(config-if)#dot1xport-controlautoruijie(config-if)#exitruijie(config)#dot1xeapol-tag161项目六802.1X安全访问控制162结束项目六802.1X安全访问控制项目七RIP路由协议与高级配置电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日164知识目标、技能要求1．掌握RIP协议路由汇总功能及配置技能；2．掌握RIP验证功能及配置技能；3．掌握时钟配置技能。项目七RIP路由协议与高级配置1657.1问题提出（1）网络需要路由汇总；

（2）网络需要路由验证。

项目七RIP路由协议与高级配置7.2相关知识1．回顾RIP协议的基本特性及应用配置（1）创建RIP路由进程ruijie(config)#routerripruijie(config-router)#network192.168.12.0ruijie(config-router)#network172.16.0.00.0.0.255166项目七RIP路由协议与高级配置167项目七RIP路由协议与高级配置（2）定义RIP版本R1(config)#routerripR1(config-router)#version2R1(config-router)#network192.168.10.0R1(config-router)#network192.168.11.0R1(config-router)#network192.168.12.0168项目七RIP路由协议与高级配置（4）RIP路由自动汇总R1(config)#routerripR1(config-router)#version2R1(config-router)#network172.16.10.0R1(config-router)#network172.16.11.0R1(config-router)#network10.10.10.0R1(config-router)#network192.168.12.0R1(config-router)#noauto-summary169项目七RIP路由协议与高级配置

2．RIP路由协议的高级特性及应用配置1）RIP手动汇总170项目七RIP路由协议与高级配置关闭了RIPv2的路由自动汇总。配置接口汇总，接口FastEthernet1/0将通告汇总后的路由172.16.0.0/16。ruijie(config)#interfaceFastEthernet1/0ruijie(config-if)#ipsummary-addressrip172.16.0.0255.255.0.0ruijie(config-if)#ipaddress172.16.1.1255.255.255.0171项目七RIP路由协议与高级配置2）配置RIP验证第1步：定义RIP验证的方式172项目七RIP路由协议与高级配置第2步：定义验证密码（1）明文验证方法一：直接配置明文验证密码173项目七RIP路由协议与高级配置方法二：关联密钥串获取明文验证字符串①定义密钥链174项目七RIP路由协议与高级配置②定义密钥175项目七RIP路由协议与高级配置③定义密钥字符串176项目七RIP路由协议与高级配置④关联密钥链177项目七RIP路由协议与高级配置例如：配置密钥链名称为ripkeys，并进入密钥链配置模式；配置密钥1，进入密钥1配置模式，并定义密钥字符串为abc。Serial0/0接口启用了RIP明文验证，关联的密钥链为ripkeys。ruijie(config)#keychainripkeys

ruijie(config-keychain)#key1ruijie(config-keychain-key)#key-stringabc178项目七RIP路由协议与高级配置ruijie(config-keychain-key)#exitruijie(config-keychain)#exitruijie(config)#interfaceserial0/0ruijie(config-if)#ipripauthenticationmodetextruijie(config-if)#ipripauthenticationkey-chainripkeys179项目七RIP路由协议与高级配置

（2）MD5验证方式ruijie(config-if)#ipripauthenticationmodemd5180项目七RIP路由协议与高级配置3）配置RIP默认路由181项目七RIP路由协议与高级配置ruijie(config-router)#default-informationoriginatealways应用实例1：网络中两台路由器通过以太网互连，运行RIP路由协议，采用明文验证方式，验证密钥为key123。182项目七RIP路由协议与高级配置（1）路由器R1配置R1(config)#keychainripkeyR1(config-keychain)#key1R1(config-keychain-key)#key-stringkey123R1(config)#interfaceFastEthernet0/0R1(config-if)#ipaddress192.168.12.1255.255.255.0R1(config-if)#ipripauthenticationmodetextR1(config-if)#ipripauthenticationkey-chainripkey183项目七RIP路由协议与高级配置（2）路由器R2的配置R2(config)#keychainripkeyR2(config-keychain)#key1R2(config-keychain-key)#key-stringkey123R2(config)#interfaceFastEthernet0/0R2(config-if)#ipaddress192.168.12.2255.255.255.0R2(config-if)#ipripauthenticationmodetextR2(config-if)#ipripauthenticationkey-chainripkey184项目七RIP路由协议与高级配置185结束项目七RIP路由协议与高级配置项目八OSPF路由协议与高级配置电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日187知识目标、技能要求1．掌握OSPF协议路由汇总功能及配置技能；2．掌握OSPF特殊区域特性及配置技能；3．掌握OSPF虚拟链路特性及配置技能；4．掌握OSPF验证功能及配置技能。项目八OSPF路由协议与高级配置1888.1问题提出（1）网络子网多、不够稳定、路由表大等；

（2）网络需要路由验证。

项目八OSPF路由协议与高级配置8.2相关知识1．回顾OSPF协议的基本特性及应用配置（1）OSPF协议特性OSPF路由协议是开放最短路径优先协议，是链路状态路由选择协议。OSPF协议是内部网关协议IGP之一，它工作在一个自治系统AS内部用于交换路由选择信息189项目八OSPF路由协议与高级配置190项目八OSPF路由协议与高级配置OSPF协议路由器通过输出接口向所有相邻路由器发送链路状态信息，每一台相邻路由器又将此信息转发给其他相邻路由器。OSPF协议路由器发送的内容是链路状态，包括链路度量值、邻居信息、UP状态等。OSPF协议只有当网络链路状态发送变化时，路由器才向所有邻接路由器用组播方式发送此变化的链路状态信息。191项目八OSPF路由协议与高级配置（2）OSPF协议工作过程

第1，建立链路状态数据库LSDB（Link-StateDatabase）第2，计算SPF（ShortestPathFirst）树

第3，产生路由表192项目八OSPF路由协议与高级配置193项目八OSPF路由协议与高级配置

（3）OSPF网络分层结构区域内路由器区域边界路由器骨干路由器自治系统边界路由器194项目八OSPF路由协议与高级配置（4）OSPF协议报文格式用IP数据报传送195项目八OSPF路由协议与高级配置OSPF分组首部格式196项目八OSPF路由协议与高级配置（5）OSPF分组类型第1，问候分组（Hello）197第2，数据库描述分组（DatabaseDescription）项目八OSPF路由协议与高级配置198项目八OSPF路由协议与高级配置第3，链路状态请求分组（Link-StateRequest）199项目八OSPF路由协议与高级配置第4，链路状态更新分组（Link-StateUpdate）200项目八OSPF路由协议与高级配置第5，链路状态确认分组（Link-StateAcknowledgement）201项目八OSPF路由协议与高级配置（6）链路状态通告LSA（LinkStateAdvertisement）格式LSA报文头格式如下：LSA报文首部202项目八OSPF路由协议与高级配置LSA报文分类如下：路由器LSA报文203项目八OSPF路由协议与高级配置网络LSA报文204项目八OSPF路由协议与高级配置网络汇总LSA报文205项目八OSPF路由协议与高级配置ASBR汇总LSA206项目八OSPF路由协议与高级配置自治系统外部LSA（7）OSPF的建立邻居状态与数据库同步过程，第1步，建立双向通信207项目八OSPF路由协议与高级配置第2步，选举DR和BDR208项目八OSPF路由协议与高级配置第3步，发现网络路由及添加链路项目209项目八OSPF路由协议与高级配置发现网络路由210项目八OSPF路由协议与高级配置添加网络路由（8）OSPF路由协议的基本配置第1步，创建OSPF路由进程211项目八OSPF路由协议与高级配置第2步，定义OSPF接口及所属区域212项目八OSPF路由协议与高级配置第3步，设置Router-ID213项目八OSPF路由协议与高级配置配置OSPF单区域实例214项目八OSPF路由协议与高级配置R1(config)#routerospf1R1(config-router)#network192.168.10.00.0.0.255area0R1(config-router)#network192.168.11.00.0.0.255area0R1(config-router)#network192.168.12.00.0.0.255area0R2(config)#routerOSPf1R2(config-router)#network192.168.12.00.0.0.255area0R2(config-router)#network192.168.20.00.0.0.255area0R2(config-router)#network192.168.21.00.0.0.255area0215项目八OSPF路由协议与高级配置2.OSPF协议特性及高级配置(1)OSPF路由汇总

OSPF路由汇总分为区域间路由汇总和外部路由汇总两种:第1，OSPF区域间路由汇总

区域间路由汇总是在ABR上进行的，用来将一个区域的多个路由合并或汇聚成一条路由，然后通告到其他区域去。

项目八OSPF路由协议与高级配置配置OSPF区域间路由汇总的命令格式

项目八OSPF路由协议与高级配置应用实例：将区域1的路由汇总成一条路由172.16.16.0/20ruijie(config)#routerospf1ruijie(config-router)#network172.16.0.00.0.15.255area0ruijie(config-router)#network172.16.17.00.0.15.255area1ruijie(config-router)#area0range172.16.16.0255.255.240.0项目八OSPF路由协议与高级配置第2，OSPF外部路由汇总

外部路由汇总是在ASBR上进行的，用来将重分发到OSPF路由域的多条外部路由汇总成一条路由。

项目八OSPF路由协议与高级配置产生一条外部汇总路由100.100.0.0/16ruijie(config)#routerospf1ruijie(config-router)#summary-address100.100.0.0255.255.0.0ruijie(config-router)#redistributestaticsubnetsruijie(config-router)#network200.2.2.00.0.0.255area1ruijie(config-router)#network172.16.24.00.0.0.255area0项目八OSPF路由协议与高级配置项目八OSPF路由协议与高级配置在路由器RC上将10.10.10.0、10.10.11.0、10.10.12.0三个路由，汇总成一条路由通告到OSPF中RC(config)#routerospf1RC(config-router)#network192.168.23.00.0.0.255area0RC(config-router)#redistributeripmetric50subnetsRC(config-router)#summary-address10.10.10.0255.255.248.0项目八OSPF路由协议与高级配置（2）OSPF验证第1步：设置验证方式定义接口OSPF验证方式命令格式

项目八OSPF路由协议与高级配置设置路由器FastEthernet0/0接口的OSPF验证方式为MD5验证ruijie(config)#interfacefastethernet0/0ruijie(config-if)#ipaddress172.16.1.1255.255.255.0ruijie(config-if)#ipospfauthenticationmessage-digest项目八OSPF路由协议与高级配置设置OSPF区域验证方式的命令格式

项目八OSPF路由协议与高级配置设置OSPF路由进程的区域0（骨干区域）采用MD5验证方式，验证密码为key123。ruijie(config)#interfaceFastEthernet0/0ruijie(config-if)#ipaddress192.168.12.1255.255.255.0ruijie(config-if)#ipospfmessage-digest-key1md5key123ruijie(config)#routerospf1ruijie(config-router)#network192.168.12.00.0.0.255area0ruijie(config-router)#area0authenticationmessage-digest项目八OSPF路由协议与高级配置第2步：定义验证密码定义明文验证密码项目八OSPF路由协议与高级配置设置路由器FastEthernet0/0接口的OSPF明文验证密码为key123。

ruijie(config)#interfacefastethernet0/0ruijie(config-if)#ipaddress172.16.10.1255.255.255.0ruijie(config-if)#ipospfauthentication-keykey123项目八OSPF路由协议与高级配置定义密文验证密码

项目八OSPF路由协议与高级配置在路由器FastEthernet0/0接口上定义一个OSPF验证密码，密码号为5，密码为hello5

ruijie(config)#interfaceFastEthernet0/0ruijie(config-if)#ipaddress172.16.24.2255.255.255.0ruijie(config-if)#ipospfauthenticationmessage-digestruijie(config-if)#ipospfmessage-digest-key5md5hello5

项目八OSPF路由协议与高级配置231结束项目八OSPF路由协议与高级配置项目九路由选择控制与过滤

电子工业出版社张国清主编《高级交换与路由技术》配套课件二O一六年八月十日233知识目标、技能要求1．了解路由器被动接口、分发列表及调整AD值的功能及应用；2．掌握路由器被动接口、分发列表及调整AD值的配置方法；3．掌握网络工程调试方法及技能。项目九路由选择控制与过滤

2349.1问题提出

为了防止其他路由器动态地学习到设备路由信息，需要禁止路由器接口对外发布路由更新信息或过滤路由信息。项目九路由选择控制与过滤

9.2相关知识9.2.1被动接口1．被动接口概述

被动接口passive-interface，不允许路由更新报文从该路由器接口发送出去。OSPF不能通过被动接口建立连接；RIP能够被动接口接收更新报文。235项目九路由选择控制与过滤

2362．配置命令（1）设置被动接口项目九路由选择控制与过滤

237设置接口Fastethernet0/1为passive模式。ruijie(config)#routerripruijie(config-router)#passive-interfacefastethernet0/1项目九路由选择控制与过滤

238

（2）指定邻居IP地址

项目九路由选择控制与过滤

239R0路由器Fastethernet0/0接口连接路由器R1和R2，R1接口地址为172.16.1.2/24，R2接口地址为172.16.2.2/24，要求R0路由器只将路由更新信息发送给R1。R0(config)#routerripR0(config-router)#passive-interfaceFastethernet0/0R0(config-router)#neighbor172.16.1.2项目九路由选择控制与过滤

240交换机RIPv2，路由更新报文从所有网络接口发送。为了减少路由更新报文对服务器的影响，将交换机接口Fa0/24接口配置为passive-interface。项目九路由选择控制与过滤

241SW(config)#routerripSW(config-router)#passive-interfaceFastEthernet0/24项目九路由选择控制与过滤

2423．应用案例

Router1的RIP路由更新信息只允许发送到交换机Switch1

项目九路由选择控制与过滤

243Router1(config)#routerripRouter1(config-router)#version2Router1(config-router)#passive-interfaceFastEthernet0/0Router1(config-router)#network172.16.0.0Router1(config-router)#network192.168.12.0Router1(config-router)#neighbor192.168.23.2项目九路由选择控制与过滤

2449.2.2分发列表1．分发列表概述通过访问控制列表控制数据流类型，从而能够利用访问控制列表限制于路由选择更新。（1）入口过滤；（2）出口过滤；（3）重分发过滤。项目九路由选择控制与过滤

2452．配置分发列表（1）distribute-list（RIP）命令

项目九路由选择控制与过滤

246项目九路由选择控制与过滤

247RIP对从Fastethernet0/0接口接收的路由，进行了控制处理，只允许接收172.16开头的路由。ruijie(config)#routerripruijie(config-router)#network200.168.23.0ruijie(config-router)#distribute-list10infastethernet0/0ruijie(config)#access-list10permit172.16.0.00.0.255.255项目九路由选择控制与过滤

248

（2）distribute-list（OSPF）命令项目九路由选择控制与过滤

249项目九路由选择控制与过滤

250允许从Fa0/0接口接收的172.16.0.0/16网络路由参与SPF计算，并放入到路由表中。ruijie(config)#access-list3permit172.16.0.00.0.255.255ruijie(config)#routerospf25ruijie(config-router)#distribute-list3infastethernet0/0项目九路由选择控制与过滤

允许100.100.0.0/16网络路由从静态路由重分发到OSPF区域。ruijie(config)#access-list22permit100.100.0.00.0.255.255ruijie(config)#routerospf1ruijie(config)#redistributestaticsubnetsruijie(config-router)#distribute-list22outstatic251项目九路由选择控制与过滤

9.2.3调整AD值1．管理距离AD概述管理距离（AdministrativeDistance，AD）是确定一个路由协议可信度的一种度量值。在各种路由协议中，根据可信度不同赋予不同AD值，通常AD值越小，可信度越高。项目九路由选择控制与过滤

项目九路由选择控制与过滤

2．修改管理距离值（1）修改RIP路由协议的管理距离值

项目九路由选择控制与过滤

将配置RIP路由管理距离为160，并指定从192.168.12.1学习到的路由的管理距离为123。ruijie(config)#routerripruijie(config-router)#distance160ruijie(config-router)#distance123192.168.12.10.0.0.0项目九路由选择控制与过滤