網絡設計集成復習

網絡設計集成

一、華為通用平台VRP配置

• 理解命令視圖的意義

1. 系統的所有命令都注冊在某個（或某些）命令視圖下，只有在相應的視圖下才能執行該視圖下的命令
2. 視圖可以理解為命令的容器分類
3. <>只能看，[]才可以配置
4. 對系統進行配置，首先要進入系統視圖，后對接口的操作要進入到相應的接口視圖，對協議的操作要進入到相應的協議視圖
5. 所有文件操作命令均在用戶視圖中操作

• 掌握VRP命令行快捷編輯方式

1. 命令行接口提供類似Doskey功能，將用戶鍵入的歷史命令自動保存。可以用命令或上下翻找鍵進行查詢
2. 通過查詢歷史在要取消的命令前插入undo來取消命令
3. tab補全
4. VRP支持多行編輯，每條命令的最大長度為256個字符

• 理解配置環境搭建的意義、掌握基本搭建方法

1. 配置環境搭建問題：路由器等是特殊的計算機，一般沒有輸入輸出設備，需要特殊的方式登錄其上進行配置與反饋結果
2. 搭建常用的方法有：
   • 通過Console口配置：建立本地配置環境，連接配置電纜，軟件連接創建超級終端，然后進行配置
   • 通過AUX口配置
   • 通過Telnet方式配置(超級權限的登錄方式)：建立Telnet配置環境， 只需微機的以太網接口IP地址和路由器的接口IP地址有路由可達即可。其登錄有三種方式：不驗證、passward驗證(只需輸入密碼)、AAA本地驗證(用戶名和密碼)。需配置登錄用戶權限級別。
   • 通過WEB方式

• 掌握最基本的VRP配置

1. 設置路由器名——sysname host-name
2. 從用戶視圖進入系統視圖——system-view
3. 從系統視圖返回到用戶視圖——quit
4. 從任意的非用戶視圖返回到用戶視圖——return
5. 設置所在的時區——clock timezone time-zone-name { add | minus } offset
6. 顯示當前配置信息——display current-configuration（量很大，ctrl+Z中斷）
7. 顯示當前視圖的運行配置——display this（華為特有的）

• 掌握用戶賬號的配置方法

1. 用戶分類

   • 超級終端用戶：通過Console口或Aux口登錄到路由器
   • Telnet用戶：使用Telnet命令登錄到路由器
   • FTP用戶：與路由器建立FTP連接進行文件傳輸
   • PPP用戶：與路由器建立PPP連接從而訪問網絡
   • SSH用戶：與路由器建立SSH連接，從而訪問網絡

2. 驗證方式

   • 不驗證：不需用戶名和口令，就可登錄路由器
   • password驗證：只需口令，不需用戶名，可以獲得一定的安全性
   • AAA的本地驗證：需要用戶提供用戶名和口令
   • AAA驗證方案驗證 ：需要AAA服務器的配合

3. 設置用戶界面優先級(用戶界面視圖)

   • 設置用戶界面的優先級——user privilege level level
   • 取消上面命令后，優先級恢復至缺省狀態
   • CON口對應的優先級缺省為3，其它用戶界面的優先級缺省為0。

• 掌握一種用戶口令恢復方法
• 掌握配置文件的管理方法

1. 當前配置：當前正在運行的配置，也是設備內存中的配置（還未形成文件），配置完成后立即（臨時）生效，但只有保存后下次啟動時才能生效
2. 配置文件：保存在設備外存中的啟動配置，華為缺省的配置文件為vrpcfg.zip，保存在flash：/根目錄下，啟動時會自動加載到內存中運行。
3. 下次啟動配置文件：顧名思義，重新啟動后才能加載到內存中生效的配置文件，通常是在配置過程中通過命令設置。
4. 當前配置保存：缺省是保存為系統的根目錄文件flash：/vrpcfg.zip 如[Huawei]save flash:/backup.zip 安全備份，而不是直接save
5. 配置文件的備份與恢復

備份
在用戶視圖下
<Huawei>cd flash:/ 
<Huawei>copy vrpcfg.zip backup.zip
恢復
<Huawei>copy backup.zip  vrpcfg.zip

• 掌握一種路由設備的升級方法

1. Bootrom軟件升級

2. VRP軟件升級

   • 通過串口Xmodem升級
   • 通過網絡下載升級（TFTP方式）
   • 通過FTP升級

二、以太網概述

• 理解以太網核心技術的工程要求

1. 以太網的核心技術及特點：分布式、簡單、使用受限

2. 以太網核心協議CSMA/CD：載波監聽多點接入/沖突檢測—為共享廣播信道上主流防沖突（碰撞）協議

   • 多點接入、載波監聽、沖突檢測
   • 技術：監聽—檢測—強化+隨等（二進制指數退避算法）

3. CSMA/CD 協議特性

   • 簡單：自由接入，無需控制中心，但有紀律
   • 半雙工通信
   • 低信道利用率：爭用期內仍可能會沖突（多個站同時監聽、電磁波傳播時延的影響），而引起多次重傳，甚至惡性循環。
   • 可以通過優化技術如 P-堅持 對其性能進行優化
   • 有技術使用要求：為保證有效利用率，對傳輸速率、距離及接入站點數等也有限制要求

4. 流程

5. CSMA/CD 協議的技術參數要求是 CSMA/CD能有效運行：有效檢測到載波、有效檢測到沖突
6. CSMA/CD的“5－4－3”原則：
   限制每段電纜的最大長度為 500 m （指粗纜，雙絞線為100m），最多5段電纜，4個中繼器，其中3段電纜可以接入用戶。
7. 在工程實踐中，以太網在連接節點數、級聯層數、線路長度、距離和速率等方面須有一定限制

• 掌握以太網標准中一些符號意義

1. 10BASE-5中10代表10M，BASE代表基帶傳輸，5代表傳輸距離
2. 最小幀長：利於接收方無效幀的判別(小於64字節為無效幀)
3. 最大幀長：實現超長控制，以解決故障問題(max1518字節)
4. 最小幀間隔：使接收端來得及處理，信道的輪流共用
5. 最大站點數：避免重載引起惡性循環(1024),采用二進制退避算法(重傳時間不可完全避免)
6. 最大速率：提高信道利用率

• 掌握以太網常用設備的工作原理（MAC查表，廣播轉發）

1. 主要設備：

   • 物理層設備 中繼器/集線器（HUB）(以比特為單位進行信息處理，不使用MAC地址，只是對數據進行廣播式復制轉發，沒有過濾功能)
   • 鏈路層設備 網橋/（二層）交換機 (以幀為信息處理單位，采用csma/cd幀結構，並以MAC地址進行定向轉發)(MAC地址學習（不能識別IP地址、數據幀的轉發和過濾)
   • 網絡層設備 三層交換機

2. 網橋/交換機的工作原理：基於轉發表進行定向轉發與站地址相關

3. 轉發表的形成與更新(使用透明網橋)：

   • 自學習算法,自動形成、更新轉發表
   • 通過對無轉發記錄的廣播轉發實現充分的可達性

4. 自學習：網橋每收到一幀后，一定先查找轉發表中與收到幀的源地址有無相匹配的記錄如沒有，則在轉發表中增加一個項目（源地址、進入接口和時間）， 如有，則把原有的項目進行更新（用現有的接入接口和時間）

5. 網橋（交換機）的三種交換模式：直通式轉發、存儲式轉發、碎片隔離式轉發

6. 交換速度遠高於路由速度

7. 網橋（交換機）特點：

   • 擴大了物理范圍
   • 過濾通信量（隔離了沖突域）
   • 可互連不同物理層、不同速率的局域網
   • 整個網橋仍是一個廣播域，仍易產生廣播風暴
   • 存儲轉發增加了時延 ，但總體而言交換速度遠高於路由速度

8. 三層交換機：

   • 在具有二層功能的同時提供三層功能（二層功能：Mac地址轉發、生成樹協議、VLAN協議）
   • 用三層高速緩沖精確查找實現三層轉發
   • 大部分三層交換機只提供以太網接口和ATM局域網仿真接口

• 掌握直連與交叉線的選擇

1. 同類交叉，不同類直連，主機與路由器同，一般用直連，級聯用交叉

• 了解以太網幾種主要的端口技術

1. 自協商：以太網速率提高而如何與原10M以太網設備兼容的問題

   • 自動上電完成
   • 以太網端口的自協商功能完全由物理層芯片設計實現，簡單地是通過上電后測試脈沖實現，因此並不使用專用數據報文或帶來任何高層協議開銷。
   • 自協商功能允許一個網絡設備將自己所支持的工作模式（包括速率、雙工模式等）信息傳遞給網絡上的對端，並接受對方可能傳遞過來的相應信息。
   • 只對雙絞線T而言，對光纖通信不支持自協商，需手動配置兩端速率/工作模式
   

2. 流量控制：處理與發送速率不對等—網絡的可靠性

   • 半雙工：發送csma/cd協議的模擬沖突信號（不是真正） ，從而使對方停下
   • 全雙工：采用發送專門的pause幀，並用組播地址01-80-C2-00-00-01進行發送

3. 端口聚合：提高帶寬和可靠性—設備的可靠性（在數據鏈路層實現）

   • 優點：提高鏈路帶寬、流量負載分擔、提高可靠性（同組成員彼此動態備份）
   • 端口聚合兩端的物理參數、邏輯參數必須保持一致
   • Eth-Trunk接口是一種可以動態創建的邏輯接口，該類型接口可以綁定若干物理的以太網接口作為一個邏輯接口使用，實現增加帶寬提高靠性的目的。

4. 端口鏡像：大流量數據的備份與監測—數據的可靠性

   • 基於端口的鏡像：即將多個端口的報文復制到一個監控端口上
   • 基於流的鏡像：基於流的鏡像只對滿足條件的數據流進行鏡像。一台交換機只支持配置一個監控端口。

三、以太網生成樹STP原理與配置

• 理解生成樹協議STP產生的背景

1. STP協議解決的是環路冗余設計與自學習算法結而產生的轉發表收斂問題
2. 剛性環路與自學習算法產生的轉發表不穩定問題
3. 環路與透明網橋算法的結合問題：廣播風暴、MAC地址表不穩定

• 理解STP協議的基本原理

1. 通過信息交換與計算形成無環路的轉發樹
2. STP基本思想：通過構造一棵樹的方法達到裁剪冗余環路的目的
3. STP協議的作用：去除轉發環路，備份鏈路的恢復
4. STP是通過阻塞某一端口的方式消除環路，而非斷開鏈路

• 掌握STP協議根橋及幾種端口的選取方法

1. 根橋依據優先級和MAC地址，與路徑開銷無關，其它端口先根據路徑開銷，再依據BID和PID

2. 基本概念

   • 根橋RB（Root Bridge），為充當生成樹根的交換機
   • 根端口RP（Root Port），為其它交換機與根橋的通信端口
   • 指定端口DP（Designated Port），為某一網段到根橋的通信端口
   • 備用端口AP（Alternate Port），為備用端口，實際上是拋棄備用的端口
   • 橋MAC地址，通常取橋中所有端口MAC地址最小
   • 橋ID（BID），由兩部分組成，交換機的優先級+交換機的MAC地址，優先級有統一的缺省值（32768），也可以人為設計
   • 端口ID（PID），也由兩部分組成，端口的優先級+端口的MAC地址，優先級有統一的缺省值（128），也可以人為設計
   • 根路徑開銷(RPC)，為端口到根橋的路徑開銷，具體為路徑上所經過的端口到根橋的開銷之和

3. 根橋的選取：根橋的選舉基於交換機標識BID。首先比較優先級，如果優先級相同則比較MAC地址，值越小越優先，即優先級優先

4. 根端口(非根橋的交換機上與根橋通信的連接端口)的選取：

   • 目的：保證每一交換機到根橋通信的路徑的唯一性和開銷的最優性
   • STP協議合理地將（到）根路徑開銷(RPC)作為根端口選擇主要依據，而RPC(root path cost)又與端口開銷PC（Port Cost）相關，為RPC為路徑上所通過的端口PC之和。
   • 端口的開銷PC和端口的帶寬速率相關，帶寬越高，開銷越小
   • 選取流程：優先選一個非根橋到根橋路徑RPC最小的本地端口
     

5. 指定端口的選取

   • 指定端口：每一網段與根橋的通信端口
   • 目的：保證網段到根橋通信的路徑的唯一性和開銷的最優性
   • 流程：首先比較該網段所連接的端口所屬交換機的根路徑開銷RPC，越小越優先。選取完后，其余未被選中的端口就是備用端口而被阻塞

6. 總結：在不指定優先級的情況下，選取算法和結果只依賴於端口的物理參數，包括MAC地址和速率。但對於根橋而言優先級優先！；其它開銷優先。

7. 根橋上的所有端口都是指定端口

8. 交換機端口角色：

9. BPDU（Configuration Bridge Protocol Data Unit）為STP協議執行過程中的信息傳遞協議。STP通過在交換機間傳遞BPDU獲知端口消息

• 理解STP協議與動態路由協議之間的相似性（都依賴設備之間的動態信息交換）

• 理解STP的改進協議RSTP原理（由Blocking狀態直接進入轉發狀態）

1. STP問題：慢收斂 RSTP：快速收斂
2. RSTP與STP的實現基本思想一致，但它更進一步的簡化了端口的狀態遷移，將前三種狀態合三為一；並規定當網絡臨時失去連通性時處於Blocking狀態的端口可直接進入轉發狀態，不必經歷2倍的Forward Delay時延。

• 掌握STP協議的基本配置（全局使能，選擇協議）

1. STP只在有環路時才配置

四、VLAN技術原理與配置

• 理解VLAN技術的產生背景（隔離廣播域）

1. 共享廣播鏈路及基於自學習的MAC表進行轉發，使以太網缺少靈活有效的轉發控制手段（不可控、效率低）

• 理解VLAN不同類型端口對數據報文的處理（收指從對端，有或無標簽，發是指從內部，一定有標簽）

1. 處理方式包括丟棄幀、轉發幀、添加標簽、移除標簽等。轉發幀時，通過檢查以太網報文中攜帶的VLAN標簽，是否為該端口允許通過的標簽，可判斷出該以太網幀是否能夠從端口轉發。
2. VLAN划分方式：基於端口、基於協議、基於MAC協議
3. 端口類型：
   • Access類型：僅能讓一個VLAN通過，缺省為VLAN1
   • Trunk類型： 能讓多個VLAN通過
   • Hybrid類型：為Access和Trunk的混合型，是華為特有的
   • 將交換機與計算機之間的鏈路稱為Access鏈路，該鏈路交換機一側的端口稱為Access端口
   • 將交換機與交換機之間的鏈路稱為Trunk鏈路，該鏈路兩側的交換機端口稱為Trunk端口
4. 不同端口對報文的處理

說明：先理清一下收發的概念：這里的收報文是指前面推理說明幻燈片中所說的本交換機從鏈路上對端設備（交換機或計算機）上首次接收到的報文，所以有可能是有標簽的也有可能是沒標簽的；發報文是指轉發交換機內部端口之間的轉發的（非首次收到的），所以轉發的一定是有標簽的幀；
由此，再結合鏈路和端口類型的划分就很容易理解不同端口類型對報文的處理了
Access端口：若接收到untagged報文，則一定來自計算機且要求轉發的，所以要打上tagged后轉發，若是tagged報文一定來自其它交換機的，若報文的tagged與該端口的VPID同，則已經到達不需要轉發丟棄即可；若不同因該端口為Access口只能轉發PVID的幀，所以還是丟棄；若發送報文（實際上是轉發），一定是將報文轉發給計算機，所以一定需要將報文的VLAN信息剝離，計算機才能識別；同樣如果是發報文一定是發給計算機的，則一定是報文的VLAN信息剝離后發給計算機（這里不是轉發，轉發是指發其它交換機端口）
Trunk端口：若收到的報文沒有標注，則一定來自計算機要求轉發的，一定要打上該端口本身的PVID；如有則是其它交換機要求轉發，在轉發列表中就轉發，不再就丟棄；發報文的操作類似，相等表示已到目的VLAN，是發給計算機，所以先剝離后發送（非轉發）；如果不等，則說明是借過的，直接轉發給其它交換機（不需要再判斷了，本交換機第一次收到該報文的借口已做檢查）
Hybrid端口：收到報文，處理同trunk；發報文實際上也是同trunk，這里的untag屬性是指要求

• 掌握VLAN配置及錯誤診斷方法（同一鏈路同一VLAN，同一VLAN同一IP子網）

1. 實際上VLAN的划分是在交換機上，計算機不能直接划分到VLAN中，其是通過將所連接的交換機的端口加入到相應的VLAN中的（相應的VLANIF的IP地址作為其網關）

2. 

3. 常見錯誤：

   • 同一鏈路兩個端口所屬的VLAN不一樣
   • 同一個VLAN的IP子網不一樣
   • 同一個中繼上允許的VLAN列表沒有當前的VLAN，此時需按照需求進行更新
   • 中繼模式打開狀態不一樣，一個Trunk模式為ON，另一個為OFF

• 了解通用VLAN注冊協議GVRP（VLAN的增減變化只需在端交換設備上進行配置，中間自動更新）

1. VLAN的增減變化只需在端交換設備上進行配置，中間交換設備自動更新，所以GVRP是大型網絡必備！

• 掌握VLAN單臂路由與三層交換路由技術（單臂路由在路由器端要封裝802.1q協議，交換機端要設為trunk模式）

1. VLAN路由的方法

   • 多臂路由器：同普通路由，成本高
   • 單臂路由器：節約，利舊
   • 三層交換機：常用的，性價比高(可以將三層交換機看成是交換機與路由器的集成設備，但三層交換路由控制受到一定限制)

2. 單臂路由：二層交換機和路由器之間相連的（交換機）接口配置VLAN Trunk，使多個VLAN共享同一條物理鏈路（通過TRUNK鏈路）連接到路由器

3. 三層交換路由：二層交換機和路由器在功能上的集成構成了三層交換機，三層交換機在功能上實現了VLAN的划分、VLAN內部的二層交換和VLAN間路由的功能

   • 華為交換機不能直接給端口配IP地址，只能通過vlanif給各vlan分配IP網段，這個地址同時也作為下接設備的網關（相當於路由器上的各個端口，開啟三層交換后各個VLANif之間是通的）
   • 在VRP中，三層交換機一旦配置了VLANIF三層接口，路由功能即開啟

五、路由協議基礎

• 能解析路由表

1. 0.0.0.0/0，表示缺省路由，即當路由表沒有找到完全匹配的路由時使用的路由
2. /32，是一種特殊用法，用於虛擬地址，設備地址等
3. Loopback接口，一種純軟件性質的虛擬接口，常被選用於設備的標志，該接口創建后物理層狀態和鏈路層協議永遠處於up狀態，系統自動配置32位子網掩碼

• 理解最長匹配原則的意義與帶來的問題（意義：快速路由、查表效率）

1. 當數據報文到達路由器時，路由器首先提取出報文的目的IP地址，查找路由表，將報文的目的IP地址與路由表中的掩碼字段做“與”操作，“與”操作后的結果跟路由表該表項的目的IP地址比較，相同則匹配上，否則就沒有匹配上。
2. 當所有的路由表項都匹配完后，路由器會選擇一個掩碼最長的匹配項。
3. 最長匹配原則實際上是精確轉發策略。最長匹配原則優於優先級
4. 最長匹配會導致需要遍歷整個路由表，常用有序排列和二叉樹排列法
5. 已知目的地址的報文選擇命中路由時，采用最長匹配原則，需要注意最長匹配原則超越優先級。缺省也是可以命中的，只不過是最后選擇的

• 路由來源

1. 直接路由：direct 表示由鏈路層獲取到的路由。無需下一跳
2. 靜態路由：static 人工靜態配置
3. 動態路由：通過路由協議獲取路由

• 理解路由優先級的含義及與備份路由的關系(靜態路由優先級可逐條設置；備份路由一般不顯示、高優先級失效時啟動)

1. 所謂優先是指哪種協議發現的路由優先，而同一種協議的優先級是一樣的。優先級是相對協議的。
2. 當存在多個路由來源時，優先選用、被激活的路由（低優先級的未被激活之前不在路由表中出現）
3. 靜態路由比較特殊，每條靜態路由的優先級都可以不相同
4. 直接路由---0 OSPF----10 ISIS----15 static----60
5. 255優先級表示任何來自不可信源端的路由,直連電路的優先級不可修改

• 理解路由度量的含義及與等價路由的關系

1. 路由的度量標識出了到達這條路由所指的目的地址的代價
2. 度量值只在同一種路由協議內有比較意義（或者說度量值是一種比值），不同的路由協議之間的路由度量值沒有可比性靜態路由不存在cost值，但在路由表中cost值為0
3. 等價路由ECMP, Equal Cost Multi-Path：同一個路由協議，到同一個目的地有幾條相同度量值的路由時，這些路由都會同時被加入到路由表中
4. 如果到達目的網絡10.1.1.1/32的路由有三條路由，這三條路由優先級相同，且優先級最高，最終這三條路由都會被加入到路由表中，實現報文轉發的負載分擔。等價路由，實現均衡負載
5. 路由選擇：直接路由最長匹配原則 優先級度量缺省路由

• 掌握靜態路由中等價路由、備份路由的實現

1. 靜態路由優先級可人為逐條單獨設置。
2. 靜態路由便於實現路徑控制：均衡負載、路由備份、默認路由、數據包丟棄控制等
3. 對同一目的網絡，可通過配置多條等價的靜態路由，實現均衡負載
4. 對同一目的網絡，可通過配置多條優先級不等的靜態路由，實現路由備份
5. 路由備份：同一目的地的多條路由，其中一條路由的優先級最高，做為主路由，其余的路由優先級較低，做為備份路由

• 理解缺省路由的作用

1. 路由表中，缺省路由以到網絡0.0.0.0（掩碼為0.0.0.0）的形式出現
2. 使用缺省路由的目的是其可以減少路由表條目，從而減輕路由器的處理負擔。
3. 當路由器收到一個在路由表中匹配不到明確路由的數據包時，會將數據包轉發給缺省路由指向的下一跳。
4. 在使用ip route-static配置靜態路由時，如果將目的地址與掩碼配置為全零（0.0.0.0 0.0.0.0），則表示配置的是缺省路由。

• 可以通過優先級設計、靜態路由設計、等價路由設計、缺省路由設計等實現負載均衡、路由備份等

六、距離矢量路由協議RIP

• 理解距離矢量路由環路產生的原因

1. 距離矢量路由協議:指路由器之間交換的是到目的網絡的距離（度量）和采取的轉發方向（矢量）

2. 距離矢量路由協議收斂速度慢，交換報文數據量大，局部最優選擇易形成路由環路，為此需做特殊處理

3. 距離矢量路由環路產生的原因:

   • 更新周期的存在
   • 不可控的傳播順序
   • 擇優選擇策略
   • 故障信息很難得到及時更新，相鄰路由器之間有可能在一直互相學習錯誤信息---在其間不斷交換實際上自己發出去的信息（也是無用信息），從而產生路由信息交換環路

• 理解幾種常用的距離矢量路由環路解決技術

1. 觸發更新:不再等待更新周期.

   • 若網絡中沒有變化，則按通常的30秒間隔發送更新信息。但若有變化，路由器就立即發送其新的路由表。

2. 路由抑制:一段時間內不再接收自己已知的故障網絡的更新信息

3. 水平分割:切斷相互一直在相互學習錯誤信息的可能性

4. 路由毒化+毒性反轉

   • 路由毒化：獲知故障信息后，將該故障路由度量設為無限大（如RIP的16），且一段時間內並不從自己的路由表中刪除，仍以最大度量告知鄰居
   • 毒性反轉：鄰居節點收到故障路由信息后，也以故障信息回贈，以示確認（與水平分割相違背，所以只能選用一種，選兩種時為毒性反轉)

5. 名詞解釋

   • 最大度量：是一種控制損失的方法，優點是簡單，缺點是性能優化有限，且限制了網絡規模
   • 觸發更新：是一種源頭路由器及時主動告知壞消息的方法，優點是實時，缺點是需結合中斷機制（增加協議處理）
   • 路由抑制：是一種不接受非源頭壞路由信息的方法，同樣增加了協議的復雜性
   • 水平切割：是一種阻止信息回傳的方法，但不能保證壞消息能實時傳播，也增加了協議的復雜性
   • 路由毒化與毒性反轉：是一種帶確認的中間路由器主動保存並告知壞消息，無疑也會增加協議的復雜性

• 理解RIP協議幾種時間設計的作用

1. 更新時間（Update-time）：默認為30s更新一次，路由器向相鄰路由器廣播更新的時間間隔
2. 失效時間（Invalid/Age-time，老化）：默認為180s，路由器中的每一項單獨設置，從上次收到路由更新后，過了失效時間（為0時）還沒收到該路由更新，就會將該項路由設為失效（16），並向外廣播；
3. 清除時間（Delete-time）：默認值為120s，定義了路由度量值從變為16開始到它從路由表里被刪除的時間，超時后（為0時路由表還沒有得到更新,則刪除該路由）
4. 注意更新的應該是路由記錄，若網絡一直無變化可以沒有更新。清除時間是為了配合路由毒化

• 掌握RIP協議路由聚合的配置方法

1. 路由聚合是指將一組地址相關的路由匯聚為一個單個的路由對外廣播。
2. 作用：縮小網絡上路由表的路由數目
3. RIPv2缺省狀態下啟用自動路由聚合，以自然網段類別聚合，也稱為有類聚合
4. RIP在有類聚合被使能的情況下，路由器在向自然網段邊界外發布路由時會將子網地址聚合到自然網絡邊界。但在配置水平分割或毒性反轉的情況下，有類聚合將失效。
5. rip自動有類聚合和rip手動聚合即按需聚合

• 掌握RIP協議故障排除方法
  1、檢查入接口網段是否在RIP中宣告；
  2、檢查入接口工作是否正常；
  3、檢查對方的發送版本號和本地接口的接收版本號是否匹配；
  4、檢查入接口是否配置了undo rip input命令；
  5、檢查在RIP中是否配置了策略，過濾掉收到的RIP路由；
  6、檢查接收到的路由度量值是否大於15；
  7、檢查入接口是否配置了rip metricin命令，使得接收到的路由的度量值大於15 ；
  8、檢查在路由表中是否有從其它協議學到的相同路由。

七、鏈路狀態路由協議OSPF

• 理解OSPF協議的基本特點

1. OSPF（Open Shortest Path First開放最短路徑優先）：路由器之間交換的是自身的鏈路狀態

2. OSPF協議基本特點：為大型復雜路由協議，無環路，收斂快，觸發更新，差額傳送，帶確認，無自動聚合，優先級高

3. OSPF根據鏈路層協議類型將網絡分為下列四種二層鏈路類型，分別是點到點網絡，廣播型網絡，NBMA網絡和點到多點網絡

   • 在NBMA網絡上，因有全連接，OSPF模擬在廣播型網絡上的操作，但是每個路由器的鄰居需要手動配置
   • 缺省網絡類型是廣播型

4. 運行OSPF需要route id。若無手工配置，則會自動選擇，原則：

   • 首先選取最大的虛擬loopback接口地址（推薦）如果沒有配置loopback接口，那么就選取最大的物理接口地址，也可以通過優先級人為控制選舉

5. OSPF報文：圍繞LSA（Link State Advertisement鏈路狀態通告).共有五種報文類型：Hello包，數據庫描述包DBD，鏈路狀態請求包LSR，鏈路狀態更新包LSU，鏈路狀態確認包LSAck。只有Hello報文是周期性發送，其他的是觸發性發送

• 理解指定DR/備份路由器BDR的選取意義及選舉方法

1. 選舉意義：主要是減少參與鏈路狀態信息LSA傳播的路由器數目，以減少路由本身的帶寬消耗
2. 選取方法：概括而言兩種，自動的和手動的，廣播型全自動，非廣播全連接的鄰居關系需手動配置鄰居關系；選舉方法也很簡單，以最大IP地址為路由器的ID再結合優先算法
3. 作用：選舉后網絡中其它路由器只與DR和BDR形成鄰接關系並交換鏈路路由狀態信息， DR則負責收集所有的鏈路狀態信息，並發布給其他路由器。在DR失效的時候，BDR能快速擔負起DR的職責。
4. 鄰居與鄰接區別：鄰居關系僅僅交互hello  鄰接關系是交互LSA，后者是前者的子集，這也是選舉DR和BDR的意義所在。如下圖RTA有三個鄰居，但只有兩個鄰接。形成鄰居關系的雙方不一定都能形成鄰接關系，這要根據網絡類型而定。只有當雙方成功交換DD報文，並能交換LSA之后，才形成真正意義上的鄰接關系

5. 選舉：進行DR/BDR選舉時每台路由器將自己選出的DR寫入Hello報文中，發給網段上的每台運行OSPF協議的路由器。當處於同一網段的兩台路由器同時宣布自己是DR時，路由器優先級高者勝出；如果優先級相等，則Router ID大者勝出。
6. 一旦DR/BDR路由器選舉成功后，其他的非指定路由器DRother將只和DR，BDR保持鄰接關系，且用組播方式發送LSA報文：（？？？）
   • 所有路由器的Hello發送是以組播224.0.0.5的方式發送的，以跟蹤它們的鄰居路由；
   • DRother只會將更新包發送至224.0.0.6，只有 DR，BDR會監聽這個地址；
   • DR/BDR發送的更新包地址是224.0.0.5，這樣所有的DRother都可以收到這個更新。
   • 組播可以看成特殊的無擾他的廣播，若用廣播地址，DR/BDR的作用就沒有了

• 掌握使用指定路由器后鏈路狀態信息的傳播方法

1. 選取后LSA的傳播只在一般路由器與DR/BDR之間，且使用了組播地址，避免了廣播干擾。一般路由器有更新信息時通過224.0.0.6組播地址（只有選取的路由器能夠接受）發送給選取的路由器，收到后選取的路由器再以組播地址224.0.0.5（所有的都可以接受）發送到所有路由器。

• 了解鏈路狀態協議路由算法—最短路徑算法

1. 鏈路狀態路由算法：最短路徑算法，采用的是逐步增加點的集合，每次選取兩集合之間最小的鏈路，由此形成生成樹

• 理解OSPF協議多區域划分的作用、掌握其配置方法

1. 多區域划分主要是解決ospf網絡規模增加帶來的鏈路狀態信息震盪及路由計算開銷。為了適應網絡規模的變化。
2. OSPF協議通過將自治系統划分成不同的區域（Area）來解決上述網絡規模增大問題的
3. 區域內的詳細拓撲信息不向其他區域發送，區域間傳遞的是抽象的路由信息，而不是詳細的描述拓撲結構的鏈路狀態信息
4. ospf分為骨干區域和常規區域。非骨干區域必須與骨干區域直接相連

八、網絡安全技術綜合

• 理解和掌握DHCP中繼技術(dhcp select relay命令)

1. DHCP的作用：方便網絡主要參數的配置和管控——自動配置，移動接入、私網內可以使用私有地址，參數透明等。DHCP工作時采用廣播的方式發現
2. DHCP中繼：采用廣播方式的申請流程限制了C/S需在同一個網段，為不同網段共用DHCP服務器，需將服務器設計為中繼，具有三層交換能力的路由器和三層交換機都可以作為中繼，用dhcp select relay命令
3. 解決DHCP分配錯誤的常用方法：手動設置地址范圍內的某一地址

• 理解ACL的執行順序與具體應用（從小到大，匹配即止；ACL只是定義，要有調用處，如防火牆，流量過濾等）

1. ACL（Access Control List）訪問控制技術，ACL本身只是規則的集合，具體執行需借助具體的網絡設備和技術，常用的有防火牆、路由策略、QoS、流量過濾等。
2. ACL工作原理：當數據包從接口經過時，由於接口啟用了acl，對此路由器會對報文進行檢查，然后做出相應的處理
3. ACL的 “deny | permit”（動作）語句，稱作ACL規則（rule），表示對報文實施拒絕/允許處理。
4. 每條規則都擁有自己的規則編號，系統按照規則編號從小到大的順序，將規則依次與報文匹配，一旦匹配上一條規則即停止匹配。
5. ACL匹配機制一般按規則的編號從大到小的順序，規則依次與報文匹配，匹配上一條就停止匹配。只有兩種結果：匹配和不匹配。要注意匹配就是存在ACL，且在ACL中找到了符合條件的規則，不論匹配的動作是“permit”還是“deny”，都稱為“匹配”，而不是只是匹配上permit規則才算“匹配”。
6. ACL規則匹配順序：配置順序和自動排序（深度優先原則即最長匹配原則）
7. 規則步長，是指系統自動為ACL規則分配編號時，每個相鄰規則編號之間的差值。系統按步長值自動為acl規則分配編號。設置步長是為了方便在acl規則間插入新的規則。

• 理解ACL編號與規則編號之間的關系

1. ACL的編號與規則的編號是兩回事
   • ACL的編號與調用對應，調用是以ACL 編號為單位，一個接口的同一個方向，只能調用一個acl
   • 規則rule決定具體的控制內容，一個ACL可以包含若干個規則
   • 規則號決定規則的執行順序 為了控制規則的執行順序，每個規則有一個編號，可以通過步長實現自動編號：從步長開始，按步長依次遞增，步長缺省為5，所以每個ACL的自動編號為5,10,15，中間可以人為指定插rule，步長也可以改變

• 理解ACL的控制方向（方向是相對於整個路由器而非某一端口）

1. inbound：進入方向，站在路由器的角度，即數據包進入路由器里面的時候
2. outbound：出方向，同上，數據包從路由器向外發出時
3. 對於防火牆，則是相對於區域。進入方向為不信任區域向信任區域，出方向則相反。
4. 一個接口的同一個方向，只可調用一個acl，一個acl可包含多個規則，從上向下執行。用來做數據包訪問控制時，默認隱含放過所有（華為設備）

• 理解幾種NAT技術的地址利用率（動態一對多是最常用，也是性價比最好的）

1. NAT（Network Address Translation）: 實現對IP數據包源地址和目的地址的改變，即地址轉換，主要用於私網與公網之間的互訪

2. NAT作用：

   • 通過私有地址，屏蔽內部網絡用戶，提高內部網絡的安全性
   • 使使用私有地址的內部網絡用戶可以訪問Internet
   • 使內部局域網若干主機共享一個外部公有地址訪問Internet
   • 將內部網絡服務提供給外部網絡

3. 種類：NAT轉換有靜態的一對一、動態的一對一，一對多等，其地址利用率相應不同。

4. 各種類的地址利用率：

   • 靜態NAT 公有地址與私有地址與一張靜態地址映射表一一靜態對應，由此只起到地址隱藏作用，地址利用率沒有提高
   • 動態一對一NAT 公有地址與私有地址與動態地址映射表動態一一對應，由此在起到地址隱藏作用，地址利用率也可以通過地址釋放得到提高（但不能同時滿負荷工作）
   • 動態一對多NAT（NAPT，P-PORT）公有地址與私有地址與動態地址映射表借助於端口號動態一對多對應，地址利用率較高，可以同時滿負荷工作。 NAPT技術需借助端口號
   • Easy IP 為NAPT特例（PAT），外部地址僅有一個，地址利用率最高，但性能會受影響
     注意：動態NAT技術外部地址只在數據包形成時才分配，需與訪問控制列表、防火牆技術相配合才能實現

5. 常用動態一對多。

• 掌握幾種NAT配置方法、理解動態NAT的使用（動態的是需要時才分配，所以常與進出口的訪問控制配合起來使用）

1. NAT轉換方式

2. NAT轉換方式：靜態NAT配置、動態NAT配置