网络设计集成复习

网络设计集成

一、华为通用平台VRP配置

• 理解命令视图的意义

1. 系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令
2. 视图可以理解为命令的容器分类
3. <>只能看，[]才可以配置
4. 对系统进行配置，首先要进入系统视图，后对接口的操作要进入到相应的接口视图，对协议的操作要进入到相应的协议视图
5. 所有文件操作命令均在用户视图中操作

• 掌握VRP命令行快捷编辑方式

1. 命令行接口提供类似Doskey功能，将用户键入的历史命令自动保存。可以用命令或上下翻找键进行查询
2. 通过查询历史在要取消的命令前插入undo来取消命令
3. tab补全
4. VRP支持多行编辑，每条命令的最大长度为256个字符

• 理解配置环境搭建的意义、掌握基本搭建方法

1. 配置环境搭建问题：路由器等是特殊的计算机，一般没有输入输出设备，需要特殊的方式登录其上进行配置与反馈结果
2. 搭建常用的方法有：
   • 通过Console口配置：建立本地配置环境，连接配置电缆，软件连接创建超级终端，然后进行配置
   • 通过AUX口配置
   • 通过Telnet方式配置(超级权限的登录方式)：建立Telnet配置环境， 只需微机的以太网接口IP地址和路由器的接口IP地址有路由可达即可。其登录有三种方式：不验证、passward验证(只需输入密码)、AAA本地验证(用户名和密码)。需配置登录用户权限级别。
   • 通过WEB方式

• 掌握最基本的VRP配置

1. 设置路由器名——sysname host-name
2. 从用户视图进入系统视图——system-view
3. 从系统视图返回到用户视图——quit
4. 从任意的非用户视图返回到用户视图——return
5. 设置所在的时区——clock timezone time-zone-name { add | minus } offset
6. 显示当前配置信息——display current-configuration（量很大，ctrl+Z中断）
7. 显示当前视图的运行配置——display this（华为特有的）

• 掌握用户账号的配置方法

1. 用户分类

   • 超级终端用户：通过Console口或Aux口登录到路由器
   • Telnet用户：使用Telnet命令登录到路由器
   • FTP用户：与路由器建立FTP连接进行文件传输
   • PPP用户：与路由器建立PPP连接从而访问网络
   • SSH用户：与路由器建立SSH连接，从而访问网络

2. 验证方式

   • 不验证：不需用户名和口令，就可登录路由器
   • password验证：只需口令，不需用户名，可以获得一定的安全性
   • AAA的本地验证：需要用户提供用户名和口令
   • AAA验证方案验证 ：需要AAA服务器的配合

3. 设置用户界面优先级(用户界面视图)

   • 设置用户界面的优先级——user privilege level level
   • 取消上面命令后，优先级恢复至缺省状态
   • CON口对应的优先级缺省为3，其它用户界面的优先级缺省为0。

• 掌握一种用户口令恢复方法
• 掌握配置文件的管理方法

1. 当前配置：当前正在运行的配置，也是设备内存中的配置（还未形成文件），配置完成后立即（临时）生效，但只有保存后下次启动时才能生效
2. 配置文件：保存在设备外存中的启动配置，华为缺省的配置文件为vrpcfg.zip，保存在flash：/根目录下，启动时会自动加载到内存中运行。
3. 下次启动配置文件：顾名思义，重新启动后才能加载到内存中生效的配置文件，通常是在配置过程中通过命令设置。
4. 当前配置保存：缺省是保存为系统的根目录文件flash：/vrpcfg.zip 如[Huawei]save flash:/backup.zip 安全备份，而不是直接save
5. 配置文件的备份与恢复

备份
在用户视图下
<Huawei>cd flash:/ 
<Huawei>copy vrpcfg.zip backup.zip
恢复
<Huawei>copy backup.zip  vrpcfg.zip

• 掌握一种路由设备的升级方法

1. Bootrom软件升级

2. VRP软件升级

   • 通过串口Xmodem升级
   • 通过网络下载升级（TFTP方式）
   • 通过FTP升级

二、以太网概述

• 理解以太网核心技术的工程要求

1. 以太网的核心技术及特点：分布式、简单、使用受限

2. 以太网核心协议CSMA/CD：载波监听多点接入/冲突检测—为共享广播信道上主流防冲突（碰撞）协议

   • 多点接入、载波监听、冲突检测
   • 技术：监听—检测—强化+随等（二进制指数退避算法）

3. CSMA/CD 协议特性

   • 简单：自由接入，无需控制中心，但有纪律
   • 半双工通信
   • 低信道利用率：争用期内仍可能会冲突（多个站同时监听、电磁波传播时延的影响），而引起多次重传，甚至恶性循环。
   • 可以通过优化技术如 P-坚持 对其性能进行优化
   • 有技术使用要求：为保证有效利用率，对传输速率、距离及接入站点数等也有限制要求

4. 流程

5. CSMA/CD 协议的技术参数要求是 CSMA/CD能有效运行：有效检测到载波、有效检测到冲突
6. CSMA/CD的“5－4－3”原则：
   限制每段电缆的最大长度为 500 m （指粗缆，双绞线为100m），最多5段电缆，4个中继器，其中3段电缆可以接入用户。
7. 在工程实践中，以太网在连接节点数、级联层数、线路长度、距离和速率等方面须有一定限制

• 掌握以太网标准中一些符号意义

1. 10BASE-5中10代表10M，BASE代表基带传输，5代表传输距离
2. 最小帧长：利于接收方无效帧的判别(小于64字节为无效帧)
3. 最大帧长：实现超长控制，以解决故障问题(max1518字节)
4. 最小帧间隔：使接收端来得及处理，信道的轮流共用
5. 最大站点数：避免重载引起恶性循环(1024),采用二进制退避算法(重传时间不可完全避免)
6. 最大速率：提高信道利用率

• 掌握以太网常用设备的工作原理（MAC查表，广播转发）

1. 主要设备：

   • 物理层设备 中继器/集线器（HUB）(以比特为单位进行信息处理，不使用MAC地址，只是对数据进行广播式复制转发，没有过滤功能)
   • 链路层设备 网桥/（二层）交换机 (以帧为信息处理单位，采用csma/cd帧结构，并以MAC地址进行定向转发)(MAC地址学习（不能识别IP地址、数据帧的转发和过滤)
   • 网络层设备 三层交换机

2. 网桥/交换机的工作原理：基于转发表进行定向转发与站地址相关

3. 转发表的形成与更新(使用透明网桥)：

   • 自学习算法,自动形成、更新转发表
   • 通过对无转发记录的广播转发实现充分的可达性

4. 自学习：网桥每收到一帧后，一定先查找转发表中与收到帧的源地址有无相匹配的记录如没有，则在转发表中增加一个项目（源地址、进入接口和时间）， 如有，则把原有的项目进行更新（用现有的接入接口和时间）

5. 网桥（交换机）的三种交换模式：直通式转发、存储式转发、碎片隔离式转发

6. 交换速度远高于路由速度

7. 网桥（交换机）特点：

   • 扩大了物理范围
   • 过滤通信量（隔离了冲突域）
   • 可互连不同物理层、不同速率的局域网
   • 整个网桥仍是一个广播域，仍易产生广播风暴
   • 存储转发增加了时延 ，但总体而言交换速度远高于路由速度

8. 三层交换机：

   • 在具有二层功能的同时提供三层功能（二层功能：Mac地址转发、生成树协议、VLAN协议）
   • 用三层高速缓冲精确查找实现三层转发
   • 大部分三层交换机只提供以太网接口和ATM局域网仿真接口

• 掌握直连与交叉线的选择

1. 同类交叉，不同类直连，主机与路由器同，一般用直连，级联用交叉

• 了解以太网几种主要的端口技术

1. 自协商：以太网速率提高而如何与原10M以太网设备兼容的问题

   • 自动上电完成
   • 以太网端口的自协商功能完全由物理层芯片设计实现，简单地是通过上电后测试脉冲实现，因此并不使用专用数据报文或带来任何高层协议开销。
   • 自协商功能允许一个网络设备将自己所支持的工作模式（包括速率、双工模式等）信息传递给网络上的对端，并接受对方可能传递过来的相应信息。
   • 只对双绞线T而言，对光纤通信不支持自协商，需手动配置两端速率/工作模式
   

2. 流量控制：处理与发送速率不对等—网络的可靠性

   • 半双工：发送csma/cd协议的模拟冲突信号（不是真正） ，从而使对方停下
   • 全双工：采用发送专门的pause帧，并用组播地址01-80-C2-00-00-01进行发送

3. 端口聚合：提高带宽和可靠性—设备的可靠性（在数据链路层实现）

   • 优点：提高链路带宽、流量负载分担、提高可靠性（同组成员彼此动态备份）
   • 端口聚合两端的物理参数、逻辑参数必须保持一致
   • Eth-Trunk接口是一种可以动态创建的逻辑接口，该类型接口可以绑定若干物理的以太网接口作为一个逻辑接口使用，实现增加带宽提高靠性的目的。

4. 端口镜像：大流量数据的备份与监测—数据的可靠性

   • 基于端口的镜像：即将多个端口的报文复制到一个监控端口上
   • 基于流的镜像：基于流的镜像只对满足条件的数据流进行镜像。一台交换机只支持配置一个监控端口。

三、以太网生成树STP原理与配置

• 理解生成树协议STP产生的背景

1. STP协议解决的是环路冗余设计与自学习算法结而产生的转发表收敛问题
2. 刚性环路与自学习算法产生的转发表不稳定问题
3. 环路与透明网桥算法的结合问题：广播风暴、MAC地址表不稳定

• 理解STP协议的基本原理

1. 通过信息交换与计算形成无环路的转发树
2. STP基本思想：通过构造一棵树的方法达到裁剪冗余环路的目的
3. STP协议的作用：去除转发环路，备份链路的恢复
4. STP是通过阻塞某一端口的方式消除环路，而非断开链路

• 掌握STP协议根桥及几种端口的选取方法

1. 根桥依据优先级和MAC地址，与路径开销无关，其它端口先根据路径开销，再依据BID和PID

2. 基本概念

   • 根桥RB（Root Bridge），为充当生成树根的交换机
   • 根端口RP（Root Port），为其它交换机与根桥的通信端口
   • 指定端口DP（Designated Port），为某一网段到根桥的通信端口
   • 备用端口AP（Alternate Port），为备用端口，实际上是抛弃备用的端口
   • 桥MAC地址，通常取桥中所有端口MAC地址最小
   • 桥ID（BID），由两部分组成，交换机的优先级+交换机的MAC地址，优先级有统一的缺省值（32768），也可以人为设计
   • 端口ID（PID），也由两部分组成，端口的优先级+端口的MAC地址，优先级有统一的缺省值（128），也可以人为设计
   • 根路径开销(RPC)，为端口到根桥的路径开销，具体为路径上所经过的端口到根桥的开销之和

3. 根桥的选取：根桥的选举基于交换机标识BID。首先比较优先级，如果优先级相同则比较MAC地址，值越小越优先，即优先级优先

4. 根端口(非根桥的交换机上与根桥通信的连接端口)的选取：

   • 目的：保证每一交换机到根桥通信的路径的唯一性和开销的最优性
   • STP协议合理地将（到）根路径开销(RPC)作为根端口选择主要依据，而RPC(root path cost)又与端口开销PC（Port Cost）相关，为RPC为路径上所通过的端口PC之和。
   • 端口的开销PC和端口的带宽速率相关，带宽越高，开销越小
   • 选取流程：优先选一个非根桥到根桥路径RPC最小的本地端口
     

5. 指定端口的选取

   • 指定端口：每一网段与根桥的通信端口
   • 目的：保证网段到根桥通信的路径的唯一性和开销的最优性
   • 流程：首先比较该网段所连接的端口所属交换机的根路径开销RPC，越小越优先。选取完后，其余未被选中的端口就是备用端口而被阻塞

6. 总结：在不指定优先级的情况下，选取算法和结果只依赖于端口的物理参数，包括MAC地址和速率。但对于根桥而言优先级优先！；其它开销优先。

7. 根桥上的所有端口都是指定端口

8. 交换机端口角色：

9. BPDU（Configuration Bridge Protocol Data Unit）为STP协议执行过程中的信息传递协议。STP通过在交换机间传递BPDU获知端口消息

• 理解STP协议与动态路由协议之间的相似性（都依赖设备之间的动态信息交换）

• 理解STP的改进协议RSTP原理（由Blocking状态直接进入转发状态）

1. STP问题：慢收敛 RSTP：快速收敛
2. RSTP与STP的实现基本思想一致，但它更进一步的简化了端口的状态迁移，将前三种状态合三为一；并规定当网络临时失去连通性时处于Blocking状态的端口可直接进入转发状态，不必经历2倍的Forward Delay时延。

• 掌握STP协议的基本配置（全局使能，选择协议）

1. STP只在有环路时才配置

四、VLAN技术原理与配置

• 理解VLAN技术的产生背景（隔离广播域）

1. 共享广播链路及基于自学习的MAC表进行转发，使以太网缺少灵活有效的转发控制手段（不可控、效率低）

• 理解VLAN不同类型端口对数据报文的处理（收指从对端，有或无标签，发是指从内部，一定有标签）

1. 处理方式包括丢弃帧、转发帧、添加标签、移除标签等。转发帧时，通过检查以太网报文中携带的VLAN标签，是否为该端口允许通过的标签，可判断出该以太网帧是否能够从端口转发。
2. VLAN划分方式：基于端口、基于协议、基于MAC协议
3. 端口类型：
   • Access类型：仅能让一个VLAN通过，缺省为VLAN1
   • Trunk类型： 能让多个VLAN通过
   • Hybrid类型：为Access和Trunk的混合型，是华为特有的
   • 将交换机与计算机之间的链路称为Access链路，该链路交换机一侧的端口称为Access端口
   • 将交换机与交换机之间的链路称为Trunk链路，该链路两侧的交换机端口称为Trunk端口
4. 不同端口对报文的处理

说明：先理清一下收发的概念：这里的收报文是指前面推理说明幻灯片中所说的本交换机从链路上对端设备（交换机或计算机）上首次接收到的报文，所以有可能是有标签的也有可能是没标签的；发报文是指转发交换机内部端口之间的转发的（非首次收到的），所以转发的一定是有标签的帧；
由此，再结合链路和端口类型的划分就很容易理解不同端口类型对报文的处理了
Access端口：若接收到untagged报文，则一定来自计算机且要求转发的，所以要打上tagged后转发，若是tagged报文一定来自其它交换机的，若报文的tagged与该端口的VPID同，则已经到达不需要转发丢弃即可；若不同因该端口为Access口只能转发PVID的帧，所以还是丢弃；若发送报文（实际上是转发），一定是将报文转发给计算机，所以一定需要将报文的VLAN信息剥离，计算机才能识别；同样如果是发报文一定是发给计算机的，则一定是报文的VLAN信息剥离后发给计算机（这里不是转发，转发是指发其它交换机端口）
Trunk端口：若收到的报文没有标注，则一定来自计算机要求转发的，一定要打上该端口本身的PVID；如有则是其它交换机要求转发，在转发列表中就转发，不再就丢弃；发报文的操作类似，相等表示已到目的VLAN，是发给计算机，所以先剥离后发送（非转发）；如果不等，则说明是借过的，直接转发给其它交换机（不需要再判断了，本交换机第一次收到该报文的借口已做检查）
Hybrid端口：收到报文，处理同trunk；发报文实际上也是同trunk，这里的untag属性是指要求

• 掌握VLAN配置及错误诊断方法（同一链路同一VLAN，同一VLAN同一IP子网）

1. 实际上VLAN的划分是在交换机上，计算机不能直接划分到VLAN中，其是通过将所连接的交换机的端口加入到相应的VLAN中的（相应的VLANIF的IP地址作为其网关）

2. 

3. 常见错误：

   • 同一链路两个端口所属的VLAN不一样
   • 同一个VLAN的IP子网不一样
   • 同一个中继上允许的VLAN列表没有当前的VLAN，此时需按照需求进行更新
   • 中继模式打开状态不一样，一个Trunk模式为ON，另一个为OFF

• 了解通用VLAN注册协议GVRP（VLAN的增减变化只需在端交换设备上进行配置，中间自动更新）

1. VLAN的增减变化只需在端交换设备上进行配置，中间交换设备自动更新，所以GVRP是大型网络必备！

• 掌握VLAN单臂路由与三层交换路由技术（单臂路由在路由器端要封装802.1q协议，交换机端要设为trunk模式）

1. VLAN路由的方法

   • 多臂路由器：同普通路由，成本高
   • 单臂路由器：节约，利旧
   • 三层交换机：常用的，性价比高(可以将三层交换机看成是交换机与路由器的集成设备，但三层交换路由控制受到一定限制)

2. 单臂路由：二层交换机和路由器之间相连的（交换机）接口配置VLAN Trunk，使多个VLAN共享同一条物理链路（通过TRUNK链路）连接到路由器

3. 三层交换路由：二层交换机和路由器在功能上的集成构成了三层交换机，三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能

   • 华为交换机不能直接给端口配IP地址，只能通过vlanif给各vlan分配IP网段，这个地址同时也作为下接设备的网关（相当于路由器上的各个端口，开启三层交换后各个VLANif之间是通的）
   • 在VRP中，三层交换机一旦配置了VLANIF三层接口，路由功能即开启

五、路由协议基础

• 能解析路由表

1. 0.0.0.0/0，表示缺省路由，即当路由表没有找到完全匹配的路由时使用的路由
2. /32，是一种特殊用法，用于虚拟地址，设备地址等
3. Loopback接口，一种纯软件性质的虚拟接口，常被选用于设备的标志，该接口创建后物理层状态和链路层协议永远处于up状态，系统自动配置32位子网掩码

• 理解最长匹配原则的意义与带来的问题（意义：快速路由、查表效率）

1. 当数据报文到达路由器时，路由器首先提取出报文的目的IP地址，查找路由表，将报文的目的IP地址与路由表中的掩码字段做“与”操作，“与”操作后的结果跟路由表该表项的目的IP地址比较，相同则匹配上，否则就没有匹配上。
2. 当所有的路由表项都匹配完后，路由器会选择一个掩码最长的匹配项。
3. 最长匹配原则实际上是精确转发策略。最长匹配原则优于优先级
4. 最长匹配会导致需要遍历整个路由表，常用有序排列和二叉树排列法
5. 已知目的地址的报文选择命中路由时，采用最长匹配原则，需要注意最长匹配原则超越优先级。缺省也是可以命中的，只不过是最后选择的

• 路由来源

1. 直接路由：direct 表示由链路层获取到的路由。无需下一跳
2. 静态路由：static 人工静态配置
3. 动态路由：通过路由协议获取路由

• 理解路由优先级的含义及与备份路由的关系(静态路由优先级可逐条设置；备份路由一般不显示、高优先级失效时启动)

1. 所谓优先是指哪种协议发现的路由优先，而同一种协议的优先级是一样的。优先级是相对协议的。
2. 当存在多个路由来源时，优先选用、被激活的路由（低优先级的未被激活之前不在路由表中出现）
3. 静态路由比较特殊，每条静态路由的优先级都可以不相同
4. 直接路由---0 OSPF----10 ISIS----15 static----60
5. 255优先级表示任何来自不可信源端的路由,直连电路的优先级不可修改

• 理解路由度量的含义及与等价路由的关系

1. 路由的度量标识出了到达这条路由所指的目的地址的代价
2. 度量值只在同一种路由协议内有比较意义（或者说度量值是一种比值），不同的路由协议之间的路由度量值没有可比性静态路由不存在cost值，但在路由表中cost值为0
3. 等价路由ECMP, Equal Cost Multi-Path：同一个路由协议，到同一个目的地有几条相同度量值的路由时，这些路由都会同时被加入到路由表中
4. 如果到达目的网络10.1.1.1/32的路由有三条路由，这三条路由优先级相同，且优先级最高，最终这三条路由都会被加入到路由表中，实现报文转发的负载分担。等价路由，实现均衡负载
5. 路由选择：直接路由最长匹配原则 优先级度量缺省路由

• 掌握静态路由中等价路由、备份路由的实现

1. 静态路由优先级可人为逐条单独设置。
2. 静态路由便于实现路径控制：均衡负载、路由备份、默认路由、数据包丢弃控制等
3. 对同一目的网络，可通过配置多条等价的静态路由，实现均衡负载
4. 对同一目的网络，可通过配置多条优先级不等的静态路由，实现路由备份
5. 路由备份：同一目的地的多条路由，其中一条路由的优先级最高，做为主路由，其余的路由优先级较低，做为备份路由

• 理解缺省路由的作用

1. 路由表中，缺省路由以到网络0.0.0.0（掩码为0.0.0.0）的形式出现
2. 使用缺省路由的目的是其可以减少路由表条目，从而减轻路由器的处理负担。
3. 当路由器收到一个在路由表中匹配不到明确路由的数据包时，会将数据包转发给缺省路由指向的下一跳。
4. 在使用ip route-static配置静态路由时，如果将目的地址与掩码配置为全零（0.0.0.0 0.0.0.0），则表示配置的是缺省路由。

• 可以通过优先级设计、静态路由设计、等价路由设计、缺省路由设计等实现负载均衡、路由备份等

六、距离矢量路由协议RIP

• 理解距离矢量路由环路产生的原因

1. 距离矢量路由协议:指路由器之间交换的是到目的网络的距离（度量）和采取的转发方向（矢量）

2. 距离矢量路由协议收敛速度慢，交换报文数据量大，局部最优选择易形成路由环路，为此需做特殊处理

3. 距离矢量路由环路产生的原因:

   • 更新周期的存在
   • 不可控的传播顺序
   • 择优选择策略
   • 故障信息很难得到及时更新，相邻路由器之间有可能在一直互相学习错误信息---在其间不断交换实际上自己发出去的信息（也是无用信息），从而产生路由信息交换环路

• 理解几种常用的距离矢量路由环路解决技术

1. 触发更新:不再等待更新周期.

   • 若网络中没有变化，则按通常的30秒间隔发送更新信息。但若有变化，路由器就立即发送其新的路由表。

2. 路由抑制:一段时间内不再接收自己已知的故障网络的更新信息

3. 水平分割:切断相互一直在相互学习错误信息的可能性

4. 路由毒化+毒性反转

   • 路由毒化：获知故障信息后，将该故障路由度量设为无限大（如RIP的16），且一段时间内并不从自己的路由表中删除，仍以最大度量告知邻居
   • 毒性反转：邻居节点收到故障路由信息后，也以故障信息回赠，以示确认（与水平分割相违背，所以只能选用一种，选两种时为毒性反转)

5. 名词解释

   • 最大度量：是一种控制损失的方法，优点是简单，缺点是性能优化有限，且限制了网络规模
   • 触发更新：是一种源头路由器及时主动告知坏消息的方法，优点是实时，缺点是需结合中断机制（增加协议处理）
   • 路由抑制：是一种不接受非源头坏路由信息的方法，同样增加了协议的复杂性
   • 水平切割：是一种阻止信息回传的方法，但不能保证坏消息能实时传播，也增加了协议的复杂性
   • 路由毒化与毒性反转：是一种带确认的中间路由器主动保存并告知坏消息，无疑也会增加协议的复杂性

• 理解RIP协议几种时间设计的作用

1. 更新时间（Update-time）：默认为30s更新一次，路由器向相邻路由器广播更新的时间间隔
2. 失效时间（Invalid/Age-time，老化）：默认为180s，路由器中的每一项单独设置，从上次收到路由更新后，过了失效时间（为0时）还没收到该路由更新，就会将该项路由设为失效（16），并向外广播；
3. 清除时间（Delete-time）：默认值为120s，定义了路由度量值从变为16开始到它从路由表里被删除的时间，超时后（为0时路由表还没有得到更新,则删除该路由）
4. 注意更新的应该是路由记录，若网络一直无变化可以没有更新。清除时间是为了配合路由毒化

• 掌握RIP协议路由聚合的配置方法

1. 路由聚合是指将一组地址相关的路由汇聚为一个单个的路由对外广播。
2. 作用：缩小网络上路由表的路由数目
3. RIPv2缺省状态下启用自动路由聚合，以自然网段类别聚合，也称为有类聚合
4. RIP在有类聚合被使能的情况下，路由器在向自然网段边界外发布路由时会将子网地址聚合到自然网络边界。但在配置水平分割或毒性反转的情况下，有类聚合将失效。
5. rip自动有类聚合和rip手动聚合即按需聚合

• 掌握RIP协议故障排除方法
  1、检查入接口网段是否在RIP中宣告；
  2、检查入接口工作是否正常；
  3、检查对方的发送版本号和本地接口的接收版本号是否匹配；
  4、检查入接口是否配置了undo rip input命令；
  5、检查在RIP中是否配置了策略，过滤掉收到的RIP路由；
  6、检查接收到的路由度量值是否大于15；
  7、检查入接口是否配置了rip metricin命令，使得接收到的路由的度量值大于15 ；
  8、检查在路由表中是否有从其它协议学到的相同路由。

七、链路状态路由协议OSPF

• 理解OSPF协议的基本特点

1. OSPF（Open Shortest Path First开放最短路径优先）：路由器之间交换的是自身的链路状态

2. OSPF协议基本特点：为大型复杂路由协议，无环路，收敛快，触发更新，差额传送，带确认，无自动聚合，优先级高

3. OSPF根据链路层协议类型将网络分为下列四种二层链路类型，分别是点到点网络，广播型网络，NBMA网络和点到多点网络

   • 在NBMA网络上，因有全连接，OSPF模拟在广播型网络上的操作，但是每个路由器的邻居需要手动配置
   • 缺省网络类型是广播型

4. 运行OSPF需要route id。若无手工配置，则会自动选择，原则：

   • 首先选取最大的虚拟loopback接口地址（推荐）如果没有配置loopback接口，那么就选取最大的物理接口地址，也可以通过优先级人为控制选举

5. OSPF报文：围绕LSA（Link State Advertisement链路状态通告).共有五种报文类型：Hello包，数据库描述包DBD，链路状态请求包LSR，链路状态更新包LSU，链路状态确认包LSAck。只有Hello报文是周期性发送，其他的是触发性发送

• 理解指定DR/备份路由器BDR的选取意义及选举方法

1. 选举意义：主要是减少参与链路状态信息LSA传播的路由器数目，以减少路由本身的带宽消耗
2. 选取方法：概括而言两种，自动的和手动的，广播型全自动，非广播全连接的邻居关系需手动配置邻居关系；选举方法也很简单，以最大IP地址为路由器的ID再结合优先算法
3. 作用：选举后网络中其它路由器只与DR和BDR形成邻接关系并交换链路路由状态信息， DR则负责收集所有的链路状态信息，并发布给其他路由器。在DR失效的时候，BDR能快速担负起DR的职责。
4. 邻居与邻接区别：邻居关系仅仅交互hello  邻接关系是交互LSA，后者是前者的子集，这也是选举DR和BDR的意义所在。如下图RTA有三个邻居，但只有两个邻接。形成邻居关系的双方不一定都能形成邻接关系，这要根据网络类型而定。只有当双方成功交换DD报文，并能交换LSA之后，才形成真正意义上的邻接关系

5. 选举：进行DR/BDR选举时每台路由器将自己选出的DR写入Hello报文中，发给网段上的每台运行OSPF协议的路由器。当处于同一网段的两台路由器同时宣布自己是DR时，路由器优先级高者胜出；如果优先级相等，则Router ID大者胜出。
6. 一旦DR/BDR路由器选举成功后，其他的非指定路由器DRother将只和DR，BDR保持邻接关系，且用组播方式发送LSA报文：（？？？）
   • 所有路由器的Hello发送是以组播224.0.0.5的方式发送的，以跟踪它们的邻居路由；
   • DRother只会将更新包发送至224.0.0.6，只有 DR，BDR会监听这个地址；
   • DR/BDR发送的更新包地址是224.0.0.5，这样所有的DRother都可以收到这个更新。
   • 组播可以看成特殊的无扰他的广播，若用广播地址，DR/BDR的作用就没有了

• 掌握使用指定路由器后链路状态信息的传播方法

1. 选取后LSA的传播只在一般路由器与DR/BDR之间，且使用了组播地址，避免了广播干扰。一般路由器有更新信息时通过224.0.0.6组播地址（只有选取的路由器能够接受）发送给选取的路由器，收到后选取的路由器再以组播地址224.0.0.5（所有的都可以接受）发送到所有路由器。

• 了解链路状态协议路由算法—最短路径算法

1. 链路状态路由算法：最短路径算法，采用的是逐步增加点的集合，每次选取两集合之间最小的链路，由此形成生成树

• 理解OSPF协议多区域划分的作用、掌握其配置方法

1. 多区域划分主要是解决ospf网络规模增加带来的链路状态信息震荡及路由计算开销。为了适应网络规模的变化。
2. OSPF协议通过将自治系统划分成不同的区域（Area）来解决上述网络规模增大问题的
3. 区域内的详细拓扑信息不向其他区域发送，区域间传递的是抽象的路由信息，而不是详细的描述拓扑结构的链路状态信息
4. ospf分为骨干区域和常规区域。非骨干区域必须与骨干区域直接相连

八、网络安全技术综合

• 理解和掌握DHCP中继技术(dhcp select relay命令)

1. DHCP的作用：方便网络主要参数的配置和管控——自动配置，移动接入、私网内可以使用私有地址，参数透明等。DHCP工作时采用广播的方式发现
2. DHCP中继：采用广播方式的申请流程限制了C/S需在同一个网段，为不同网段共用DHCP服务器，需将服务器设计为中继，具有三层交换能力的路由器和三层交换机都可以作为中继，用dhcp select relay命令
3. 解决DHCP分配错误的常用方法：手动设置地址范围内的某一地址

• 理解ACL的执行顺序与具体应用（从小到大，匹配即止；ACL只是定义，要有调用处，如防火墙，流量过滤等）

1. ACL（Access Control List）访问控制技术，ACL本身只是规则的集合，具体执行需借助具体的网络设备和技术，常用的有防火墙、路由策略、QoS、流量过滤等。
2. ACL工作原理：当数据包从接口经过时，由于接口启用了acl，对此路由器会对报文进行检查，然后做出相应的处理
3. ACL的 “deny | permit”（动作）语句，称作ACL规则（rule），表示对报文实施拒绝/允许处理。
4. 每条规则都拥有自己的规则编号，系统按照规则编号从小到大的顺序，将规则依次与报文匹配，一旦匹配上一条规则即停止匹配。
5. ACL匹配机制一般按规则的编号从大到小的顺序，规则依次与报文匹配，匹配上一条就停止匹配。只有两种结果：匹配和不匹配。要注意匹配就是存在ACL，且在ACL中找到了符合条件的规则，不论匹配的动作是“permit”还是“deny”，都称为“匹配”，而不是只是匹配上permit规则才算“匹配”。
6. ACL规则匹配顺序：配置顺序和自动排序（深度优先原则即最长匹配原则）
7. 规则步长，是指系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值。系统按步长值自动为acl规则分配编号。设置步长是为了方便在acl规则间插入新的规则。

• 理解ACL编号与规则编号之间的关系

1. ACL的编号与规则的编号是两回事
   • ACL的编号与调用对应，调用是以ACL 编号为单位，一个接口的同一个方向，只能调用一个acl
   • 规则rule决定具体的控制内容，一个ACL可以包含若干个规则
   • 规则号决定规则的执行顺序 为了控制规则的执行顺序，每个规则有一个编号，可以通过步长实现自动编号：从步长开始，按步长依次递增，步长缺省为5，所以每个ACL的自动编号为5,10,15，中间可以人为指定插rule，步长也可以改变

• 理解ACL的控制方向（方向是相对于整个路由器而非某一端口）

1. inbound：进入方向，站在路由器的角度，即数据包进入路由器里面的时候
2. outbound：出方向，同上，数据包从路由器向外发出时
3. 对于防火墙，则是相对于区域。进入方向为不信任区域向信任区域，出方向则相反。
4. 一个接口的同一个方向，只可调用一个acl，一个acl可包含多个规则，从上向下执行。用来做数据包访问控制时，默认隐含放过所有（华为设备）

• 理解几种NAT技术的地址利用率（动态一对多是最常用，也是性价比最好的）

1. NAT（Network Address Translation）: 实现对IP数据包源地址和目的地址的改变，即地址转换，主要用于私网与公网之间的互访

2. NAT作用：

   • 通过私有地址，屏蔽内部网络用户，提高内部网络的安全性
   • 使使用私有地址的内部网络用户可以访问Internet
   • 使内部局域网若干主机共享一个外部公有地址访问Internet
   • 将内部网络服务提供给外部网络

3. 种类：NAT转换有静态的一对一、动态的一对一，一对多等，其地址利用率相应不同。

4. 各种类的地址利用率：

   • 静态NAT 公有地址与私有地址与一张静态地址映射表一一静态对应，由此只起到地址隐藏作用，地址利用率没有提高
   • 动态一对一NAT 公有地址与私有地址与动态地址映射表动态一一对应，由此在起到地址隐藏作用，地址利用率也可以通过地址释放得到提高（但不能同时满负荷工作）
   • 动态一对多NAT（NAPT，P-PORT）公有地址与私有地址与动态地址映射表借助于端口号动态一对多对应，地址利用率较高，可以同时满负荷工作。 NAPT技术需借助端口号
   • Easy IP 为NAPT特例（PAT），外部地址仅有一个，地址利用率最高，但性能会受影响
     注意：动态NAT技术外部地址只在数据包形成时才分配，需与访问控制列表、防火墙技术相配合才能实现

5. 常用动态一对多。

• 掌握几种NAT配置方法、理解动态NAT的使用（动态的是需要时才分配，所以常与进出口的访问控制配合起来使用）

1. NAT转换方式

2. NAT转换方式：静态NAT配置、动态NAT配置