实验总笔记

第五章：Rip协议

一、动态路由产生背景

1、静态路由手工配置麻烦

2、不适合大规模网络

3、不能随着网络拓扑结构的改变而自动收敛

二 、分类

按照工作区域划分：

内部网关路由协议：RIP协议（路由信息协议）、OSPF协议（开放式的最短路径优先协议）、IS-IS协

议（从中间系统到中间系统）

外部网关路由协议：BGP协议（边界网关协议）

按照算法划分：

基于距离矢量的路由协议：RIP BELLMAN-FORD 周期性（30秒）的发送自己的路由表给相邻的路由

基于链路状态的路由协议：OSPF、IS-IS Dijkstart算法 周期性的发送自己的链路状态信息给邻居

总结：工作过程：

运行RIP路由协议的路由器会周期性的发送自己的路由表给相邻的路由器，数据包每经过一个路由器

COST 值加1

更新规则：

如果路由信息来自同一个路由器，则其他路由器无条件学习

如果路由信息不来自于同一个路由器，则学习cost值小的，值大的不学

四、RIP协议

（1）环路产生

环路现象：一个数据包在两路由器间，被来回的传，出不去了。

环路产生原因：运行RIP路由协议的路由周期更新不同步

（2）环路解决方法

水平分割：从一个接口发出的路由信息，拒绝再从此接口传入

路由毒化：从一个接口发出的路由信息，再从此接口传入时被带毒（inf）

最大跳数限制：16跳，超过15跳的就不学习了

触发更新：对于网络拓扑结构的变化，可以不管更新是否到来，能立刻通告给其他路由器

保持失效计时器：180S，对于出现故障的链路，如果该链路能够在180S内恢复，则不向其他路由器通

告该故障，反之通告。

（3）RIP计时器:

更新计时器：30S，每个路由自己独立更新

抑制计时器：180S,防止错误更新带来的更新欺骗

保持失效计时器：180S,

刷新计时器：240S，给出现故障的链路再给一次机会，如果在240内此链路能恢复，则路由器不会再

路由表删除此条路由信息，反之删除

（4）RIP数据包----UDP--520端口

update：更新数据包

request：请求数据包

response：回复自己请求的路由表信息

五、RIP路由协议特点

1、每个路由自己独立的、周期性更新

2、最大跳数限制：16跳，超过15跳的就不学习了

3、RIP数据包----UDP--520端口，不可靠传输

六、rip的版本

RIPV1: 只遵循主类网段划分，不支持可变长的子网掩码，属于有类路由协议， 关闭自动汇总RIPV2: 只遵循主类网段划分，支持可变长的子网掩码，属于五类路由协议 可以关闭自动汇总，能手工汇总网段。

---

第6章：ospf

一、OSPF协议

OSPF协议（开放式最短路径优先协议），Dijkstart算法（SPF算法），基于链路状态的协议，周期性

发送链路状态信息

1、基础概念

三张表

路由表：提供路由信息

拓扑表（LSDB：链路状态数据库）：链路状态信息

通信模式：单工通信：数据只能沿着一个方向发送，例如：收音机听广播

半双工通信：同一时刻，只能有一方收发信息，例如：对讲机

全双工通信：同一时刻，双方同时可以收发信息

邻居表：邻居的基本信息和邻居的状态

2、五种数据包

hello包：周期性建立、维护邻居关系

DBD包：数据库描述报文，LSA（链路状态通告）的摘要信息

LSR包：链路状态请求报文，请求的是自己没有或者比自己更新的链路状态信息

LSU包：链路状态更新报文，将对方需要的链路状态信息进行一个打包，发送给对方

LSAck包：链路状态确认报文，确认对方是否收到自己发送的链路状态更新报文

3、ospf工作过程

（1）确认可达性，建立邻居（hello包）

Router ID：标识了路由器的身份

手工配置：格式：IPV4地址格式

自动选举：

环回口：IP地址最大的优先被选择

物理接口：IP地址最大的优先被选择

建立邻居：通过3次HELLO握手（2）同步摘要，开始建立邻接关系

DR\BDR DRother

选举规则：

先看路由器接口的优先级（0-255） 默认是1

再看Router ID，大的优先，最大的是DR，次优的BDR 剩下的都是DRother

邻接关系：DR与BDR是邻接关系

DR与DRother是邻接关系

BDR与DRother是邻接关系

DRother与DRother不是邻接关系

工作过程：

1、先邻接路由器发送一个DBD报文，通告的是LSA的摘要信息

2、邻接路由器收到后会和自己的LSDB对比，将自己需要的那些链路状态信息整理出来，向对方发送

一个LSR包，请求将摘要中完整的链路状态数据库中的信息发过来

3、对方收到后会做一个回复，发送一个LSU报文

4、邻接路由器收到后会回复一个LSAck报文，告知对方自己已收到

（3）完全邻接关系建好，完整数据库同步

完全邻接关系建立，LSDB表与路由表都形成了

4、ospf状态机

down：关闭状态，设备正在开启，发送第一个hello包进入下一个状态

Attempt：尝试寻找邻居的状态，收不到对方的hello回包

init：初始化：收到对方hello包时的状态（第二次hello包时）

2-way：双方都同意建立邻居关系，同时进行DR与BDR的选举（2-way前）

ExStart:：交换开始状态，发送一个空的DBD报文，不发送LSA的摘要

Exchange:交换状态，向邻接路由器通告的自己的LSA的摘要信息

Loading：读取状态,读取、请求、回复、确认

FULL：稳定状态，完全邻接关系建好，完整数据库同步

二、ospf的多区域

1、区域产生背景

所有的运行OSPF协议的路由器都处在同一个区域，那么他们会产生大量的LSA，放缓网络收敛的速度

1. 区域类型

骨干区域：aera 0

非骨干区域：

特殊区域：

多区互连原则：

（1）骨干区域不能被分割

（2）骨干区域只与非骨干区域相连，非骨干区域不能互连

4、路由器角色

IR：区域内部路由器，所有接口都在本区域内

ABR：区域边界路由器，可以连接多个区域

ASBR：自治系统边界路由器，连接其他AS的路由器

组播：

224.0.0.6：DR和BDR的组播接收地址，

224.0.0.5：指网络中所有运行OSPF协议的路由器

224.0.0.9：所有运行ripv2版本的路由器的发送更新报文的地址

三、OSPF实验

基本配置命令：

[R1]ospf ?

INTEGER<1-65535> Process ID

[R1-ospf-1]area 0.0.0.0 配置区域 id

[R4]ospf 1 router-id 4.4.4.4 建立ospf进程 ，配置Router id

[R4-ospf-1-area-0.0.0.1]network 192.168.1.130 反掩码 宣告方式：宣告网段、宣告接口具体的IP地

址，

[R1]dis ospf peer 查看OSPF的邻居表

[R1]int g0/0/0

INTEGER<0-255> Router priority value

[R1-GigabitEthernet0/0/0]ospf dr-priority 0 修改接口优先级 如果优先级为0，则代表放弃竞选

DR、BDR的资格

认证方式：两种：

接口模式：

区域模式：

接口认证模式>区域认证

[R4]int g0/0/0

[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456 在接口区域

[R4-ospf-1]default-route-advertise always 下发一条缺省路由

[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.1.0 255.255.255.128 在区域边界路由器上进行区域

汇总，用来通告给另外一个区域

[R3]ip route-static 192.168.1.0 25 NULL 0

---

第7章：vlan技术

一、VLAN技术产生背景

虚拟局域网

网络按照网络覆盖范围的大小分类：

局域网：一般几千米以内

城域网：一般以一个城市为单位建立起来的通信系统，国家政务平台

广域网：Internet-互联网（计算机网络）

路由器的接口隔离广播域，交换机产生广播域，最严重会导致广播风暴，让交换机卡死，所以vlan出现了

二、VLAN作用及特点

VLAN作用：把一个大的广播域划分成 若干个较小的广播域，以此来减少广播风暴的产生

VLAN特点：同一个vlan内的主机是可以依靠二层交换机通信，不同vlan间的通信依靠三层交换机或者路由器

三、VLAN实现过程

（1）同一交换机同一VLAN内的通信

数据从PC1出去后，进入交换机会被打上vlan tag（判断收到数据帧的接口所属的vlan id）,打上vlan tag后，，原始的数据帧就变成了一个802.1Q帧；

交换机会查看数据帧的目的MAC地址，做个判断

如果目的MAC地址所对应接口的vlan id与标签中的VLAN id是一样的，则说明此数据可以从此接口发送出去；

802.1Q的帧在离开交换机前，会剥离掉vlan Tag,使之还原成最原始的以太网数据帧，发向PC2

（2）跨交换机的同一vlan的通信

数据从PC1出去后，进入交换机会被打上vlan tag（判断收到数据帧的接口所属的vlan id）,打上vlan tag后，，原始的数据帧就变成了一个802.1Q帧；

交换机SW1会查看数据帧的目的MAC地址，目的MAC地址所对应接口的vlan id与标签中的VLAN id是一样的，如果一样，则证明该数据要转发，转发出去之前要剥离标签，使之能在trunk链路上传输。

交换机SW2收到后，会检查下数据帧的目的MAC地址，目的MAC地址所对应接口的vlan id，给原始数据帧打上vlan tag ，从对应的接口发出

802.1Q的帧在离开交换机前，会剥离掉vlan Tag,使之还原成最原始的以太网数据帧，发向PC3

四、VLAN划分方式

五种方式：

（1）基于端口的划分：

vlan id的范围：0-4095，其中0和4095是系统保留vlan，1-4094是用户可用的

PVID：默认vlan id （缺省vlan），交换机一般接口默认vlan是vlan 1

优点：划分方式简单，容易实现

缺点：主机移动，需要重新配置vlan与端口的映射关系

（2）基于MAC地址的划分：

建立MAC地址与VLAN 的映射关系

（3）基于IP子网的划分：

建立IP子网地址与VLAN 的映射关系

（4）基于协议簇的划分：

建立协议簇与VLAN 的映射关系

（5）基于策略的划分：

多种方式的组合，需要网络管理员制定策略

五、交换机接口类型

access：一般用来连接PC端、路由器、服务器

trunk：一般用来进行交换机的级联、路由器和防火墙的子接口

hybird：混合模式，一般华为交换机接口类型默认是Hybird，华三交换机默认是access

六、VLAN间通信背景

同一个vlan内的主机是可以依靠二层交换机通信，不同vlan间的通信依靠三层交换机或者路由器

（1）使用路由器物理接口

发送端：目的IP：20.2 源IP：10.2 目的MAC：MACB 源MAC：MACA +vlan 10+数据

接收端：目的IP：20.2 源IP：10.2 目的MAC：MACD 源MAC：MACC +vlan 20+数据

（2）使用路由器子接口

发送端：目的IP：20.2 源IP：10.2 目的MAC：MACB 源MAC：MACA +vlan 10+数据

接收端：目的IP：20.2 源IP：10.2 目的MAC：MACD 源MAC：MACB +vlan 20+数据

（3）使用三层交换机的VLANIF接口

交换机模块

路由模块：

七、二层接口与三层接口对比

二层交换机不能配置IP地址，三层交换机可以通过vlanif接口配置IP地址，路由器直接配置IP地址

二层交换机能转发数据，三层接口有路由功能

二层交换机不能隔离广播域，三层接口你能隔离广播域

八、VLAN实验

<Huawei>undo terminal monitor 关闭系统调试信息

[Huawei]vlan 10 创建单个vlan

[Huawei]vlan batch 30 to 40 批量创建vlan

[Huawei-GigabitEthernet0/0/3]port link-type access 更改接口的链路类型

[Huawei-GigabitEthernet0/0/3]port default vlan 10 将接口加入到相应的vlan中

[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 在trunk链路上放通vlan

[R1]int g0/0/0.?

<1-4096> GigabitEthernet interface subinterface number

[R1]int g0/0/0.1 创建子接口

[R1-GigabitEthernet0/0/0.1]

[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 封装成802.1q帧

[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播，寻找MAC地址

---

第8章：ACL实验

一、ACL功能

ACL技术-----访问控制列表，数据流的筛选和匹配

二、ACL分类

基本ACL：2000-2999 只关心数据的来源（源地址）------容易误伤其他网段

高级ACL：3000-3999 （源IP、目的IP、源端口、目的端口、协议）---数据五元组-----精确筛选和匹

配

二层ACL：4000-4999 二层数据帧的头部信息（目的MAC、源MAC、协议类型

用户自定义的ACL：使用报文的头部协议、字符串、子网掩码 5000-5999

三、ACL组成

组成：由若干条permit或deny的语句组成，每一条语句就是一个规则

语句形式 ： rule 1 deny source 192.168.1.10 0.0.0.0

规则ID：自动生成，编号从5开始，每条语句之间间隔5个数字，5的倍数

手工指定：0、1、2、3……

通配符：0是匹配位，严格匹配 ，1是随意匹配

练习1：除了拒绝192.168.1.1外，允许192.168.1.0网段中的其他IP地址通过

rule deny 192.168.1.1 0.0.0.0

rule permit 192.168.1.0 0.0.0.255

练习2：

rule permit 192.168.2.0 0.0.0.255

rule deny 192.168.2.1 0.0.0.0

高级ACL的规则：

rule permit tcp source 192.168.1.11 0.0.0.0 destination 100.1.1.1 0.0.0.0 destination-port 23

四、匹配机制

包过滤方向：

出方向：数据流出的方向

入方向：数据流入的方向

匹配机制：

数据包到达接口先检查是否应用ACL规则

按照ACL的规则编号从小到大，依次匹配

所有规则都不匹配，则会检查接口的默认动作，默认允许则数据可以通过，如果拒绝则丢弃