第四章：路由协议
1.路由是指导IP报文发送的路径信息
2.路由的分类：
静态路由 —— 由系统管理员手动配置的到目标网络的唯一路径，当网络结构发生变化时也必须由系统管理员手动的修改配置。但合理的使用静态路由可以改进网络的性能，为重要的应用保存带宽。
缺省路由 —— 由系统管理员手动配置的一种特殊路由，可以将所有找不到匹配路由的报文转发到指定的缺省网关。
动态路由 —— 由动态路由协议从其他路由器学到的到达目标网络的发送路径，可以根据网络结构的变化动态地更新路由信息。
3.路由权：用于选择最佳路由的信息
有几种路径特性经常被用于权值计算，如下：
?? 带宽 —— 链路的数据容量。例如，通常情况下10M 以太网链路比 64K 出租线路要更好。
?? 时延 —— 报文从到达目标网络所需要的时间。
?? 负载 —— 处于活跃状态的网络资源数量。
?? 可靠性 —— 每条数据链路的出错率。
?? 跳数 —— 报文到目的地需要经过的网络数。
?? 开销 —— 一种人为设定的值，通常由网络管理员根据带宽、线路价格或其他一些因素综合得出。
4.自制系统（AS）
由统一机构管理，使用同一组选路策略的路由器的集合
自治系统由一个16bit 的整数标示，这个整数被称作自治系统号。自治系统号是由 NIC（Network Information Center）统一分配和管理的。
5.按寻径算法划分路由协议
距离矢量协议包括 RIP、IGRP、EIGRP、BGP，
距离矢量算法是动态路由协议常用的一种路由算法，其基本原理就是运用矢量叠加的方式获取和计算路由信息。
所谓距离矢量即是将一条路由信息考虑成一个由目标和距离（用 Metric 来度量）组称的矢量，每一台路由器从其邻居处获得路由信息，并在每一条路由信息上叠加从自己到这个邻居的距离矢量，从而形成自己的路由信息。

链接状态协议包括 OSPF、IS-IS。
链接状态协议传送路由器之间的连接状态，每个路由器将自己所知道的链路状态通知其他路由器。这样网络中的路由器都知道整个网络拓扑结构，路由根据 SPF（Shortest Path First）算法得出。基于链路状态算法的协议结构复杂，难于管理。但由于每一台路由器都了解全网的拓扑结构，所以不用担心路由环路的影响，同时它的收敛速度快，需要传递的信息量少，可以节省网络带宽。
典型的基于链路状态算法的协议有 OSPF 和 IS-IS。
6.路由环路问题
路由环路是由于网络拓扑中存在的环形结构引发的路由环路会引起循环路由、慢收敛、路由不一致等问题，路由环路导致矢量距离算法的计算到无穷问题。
7.解决路由环问题的几种方法
定义路由权的最大值
水平分割
路由保持法
8.配置静态路由
Quidway (config) # ip route [ | ] | [ preference | reject | blackhole ]

用户可以在全局配置模式下通过命令 ip route 来配置一条静态路由。命令的参数说明如下：
ip_address 目标网络的网络地址
mask 目标网络的子网掩码
masklen 目标网络的掩码长度
interface_name 指定去往目标网络的报文的发送接口
Gateway_addr 指定去往目标网络的报文经由的下一条地址
preference_value 静态路由加到核心路由表中的优先级
静态路由允许网管员手工配置路由表，但不能够动态的反映网络的变化，因此，此方法对保证网络不间断运行存在一定的局限性。
而在网络结构相对稳定的网络中使用静态路由就可以减少路由选择问题，并节省网络开销。同时，使用静态路由还可以实现负载平衡和路由备份功能等特殊应用。
9.RIP 协议概述
RIP协议适用于中小型网络
RIP 协议要点：
?? RIP 协议基于距离向量算法，属于内部网关协议；
?? RIP 协议以到达目的地址所经过的路由器个数（跳数）为衡量路由好坏的度量值，最大跳数为 15；
?? RIP version 1 不支持子网掩码，version 2 支持变长掩码；
?? RIP 协议适用于基于 IP 的中小型网络。

RIP 路由表的初始化
?? RIP 启动时的初始路由表仅包含本路由器的一些接口路由。
?? RIP 协议启动后向各接口广播一个 Request 报 文。
?? 邻居路由器的 RIP 协议从某接口收到 Request 报文后，根据自己的路由表，形成 Response 报文向该接口对应的网络广播。
?? RIP 接收邻居路由器回复的包含邻居路由器路由表的Response 报文，形成自己的路由表。

RIP 路由的更新
?? RIP 协议以 30 秒为周期用 Response 报文广播自己的路由表。
?? 收到邻居发送而来的 Response 报文后，RIP 协议计算报文中的路由项的度量值，比较其与本地路由表路由项度量值的差别，更新自己的路由表。
?? 报文中路由项度量值的计算： metric' = MIN（metric + cost, 16），metric 为报文中携带的度量值信息，cost 为接收报文的网络的度量值开销，缺省为 1（1 跳），16 代表不可达。
?? RIP 路由表的更新原则：
对本路由表中已有的路由项，当发送报文的网关相同时，不论度量值增大或是减少，都更新该路由项（度量值相同时只将其老化定时器清零）；
对本路由表中已有的路由项，当发送报文的网关不同时，只在度量值减少时，更新该路由项；
对本路由表中不存在的路由项，在度量值小于不可达（16）时，在路由表中增加该路由项；
?? 路由表中的每一路由项都对应一老化定时器，当路由项在 180 秒内没有任何更新时，定时器超时，该路由项的度量值变为不可达（16）。
?? 某路由项的度量值变为不可达后，以该度量值在 Response 报文中发布四次（120 秒），之后从路由表中清除。

10.RIP 协议配置
Router(config)#router rip
Router(config-router-rip)#network network_number 或 network all
?? 在全局配置模式下用 router rip 命令启动 RIP 协议并进入 RIP 协议配置模式。
?? 在 RIP 协议配置模式下用 network network_number 命令在某一网段对应的接口上使能 RIP 协议。
?? network all 命令在路由器的所有接口上使能RIP协议。
?? 这种配置下 RIP 协议在接口上广播 version 1 类型的报文，RIP V1 不发布子网信息。
router(config-interface)#ip rip version 2 bcast 或 ip rip version 2 mcast
router(config-router-rip)#no auto-summary
?? 在接口上使能 RIP version 2
在接口配置模式下使能广播方式的 RIP V2（bcast）或多播方式的RIP V2（mcast）；
RIP 协议缺省进行路由聚合，在 RIP 协议配置模式下取消 RIP 的自动聚合功能，使其发布子网信息。
?? RIP V2 广播方式与多播方式
RIP V2 的广播方式以广播地址（255.255.255.255）周期发布 RIP V2报文，RIP V2 的多播方式以多播地址（224.0.0.9）周期发布 RIP V2 报文；
RIP V2 缺省使用多播方式，以减少周期发布的 RIP 报文对不监听RIP信息的主机的影响；
RIP V2 的广播方式是 RIP V1 与 RIP V2 之间的兼容方式，以广播方式发布的 RIP V2 报文可以被 RIP V1 路由器和 RIP V2 路由器（广播方式或多播方式）接收，同时运行在广播方式的RIP V2 路由器可以接收 RIP V1 的广播报文和 RIP V2 的广播或多播报文。
11.IGRP 协议及配置
IGRP 是一个基于 D-V（Distance vector）算法的路由协议，运行 IGRP 的路由器通过和相邻路由器之间相互交换路由信息来建立路由表。IGRP 是从 RIP 基础之上发展而来的。它比较 RIP 而言，主要有以下几点改进：
?? IGRP 路由的跳数不再受16跳的限制，同时在路由更新上引入新的特性，使得 IGRP 协议适用于更大的网络；
?? 引入了触发刷新、路由保持、水平分割和毒性路由等机制，使得 IGRP 对网络变化有着较快的响应的速度，并且在拓扑结构改变后仍然能够保持稳定。
?? 在 Metric 值的范围和计算上有了很大的改进，使得路由的选择更加准确，同时使路由的选择可以适应不同的服务类型。
运行 IGRP 协议的路由器通过广播地址向相邻的路由器周期性的发送自己的路由表，同时当它收到相邻路由器发送的路由表后，根据收到的路由表增加、删除、修改本地的路由表，以达到全局路由的一致性。
动态路由协议的基本功能是当网络中的路由发生改变时，将此改变迅速有效的传递到网络中的每一台路由器。同时，由于网络传递的不可靠、时延等各种偶然因素的存在，可能造成路由信息的反复变化，从而导致网络的不稳定。IGRP 协议引入了引入了触发刷新、路由保持、水平分割和毒性路由等机制，较为有效的解决了这些问题：
?? 触发刷新：当路由发生改变，立即将新发生改变的路由送出，而不必等到下一次的周期性刷新，从而使得最新的路由信息很快地传送到网络中的各个路由器；
?? 路由保持：路由保持是指当一条路径被删除后，此路由在一定的时间内要以不可达发送，在此段时间内即使有可达路径的报文,也丢弃不理。这样做可以使不可达路由信息在不可靠传送的情况可以最大限度的发送出去，而不会丢失和引起网络波动；
?? 水平分割：水平分割规定不能将从某一网关送来的路由信息再送回此网关。即它如果要发送刷新报文给相邻网关 A，那么必须把路由中 A 送来的信息全部去掉，这样可以有效地避免相邻网关中环路的形成；
?? 毒性路由：毒性路由是指如果一条路由的刷新使它的路由权的增长率大于某一比率，则此路由必须删除，并使其处于 Holddown 状态。这样做可以免在网络中形成更大的环路。
路由权是路由协议在计算路由时的主要依据，所以路由权的定义对路由的选择有着重要的影响。网络结构千变万化，单纯的跳数根本无法反映实际的网络结构，所以 IGRP 协议使用综合路由权，使得 IGRP 协议对网络路径的计算更加准确。IGRP 协议的综合路由权包括如下内容：
?? 带宽：网络的带宽，单位 kbytes/s，范围 0~16777215；
?? 时延：网络的时延，每单位代表 10 微秒，范围 1~4294967295；
?? 信道可信度：网络传输的可靠性，范围 1 ~255，这里 255 代表 100% 可信；
?? 信道占用率：网络的当前占用率，范围 1~255，这里255代表 100% 被占用；
?? 最大传输单元：接口的最大传输单元，单位字节，范围 1~65535；
?? 跳数：路径每经过一台路由器为一跳。
在实际计算路由权时，通常情况下不考虑信道可信度和占用率，最大传输单元根据实际接口特性获得，以下列举几个典型网络的带宽和时延：
卫星传输： 时延 2,000,000 ms ，带宽 500Mbit；
10M 以太网： 时延 1,000 ms ，带宽 10,000Kbps；
64K 专线： 时延 20,000 ms ，带宽 64Kbps。
12.IGRP的配置
Quidway(config)#router igrp
Quidway(config-router-igrp)#asystem 10
Quidway(config-router-igrp)#network 10.0.0.0
Quidway(config-router-igrp)#network 129.102.0.0
IGRP 协议的配置很简单，主要有以下几个步骤：
?? router igrp 命令启动 IGRP 协议进程；
?? asystem 10 命令配置 IGRP 的自治系统号，此自治系统号要求和对端路由器的自治系统号保持一致；
?? network 10.0.0.0 和 network 129.102.0.0 命令分别在相应的网络范围内的接口上使能 IGRP 协议。
13.路由重分发
Quidway(config)# router igrp
Quidway(config-router-igrp)# network 202.38.169.0
Quidway(config-router-igrp)# default-metric 1000 100 250 100 1500
Quidway(config-router-igrp)# redistribute ospf
路由器一般可以支持多种路由协议，各种路由协议之间可以通过互相引用来共享彼此的路由信息。
IGRP 协议在引入其他协议路由时可以设定引入路由的路由权，如果没有设定，则必需使用 default-metric 命令设定缺省路由权，没有设定引入路由权的引入路由协议会使用缺省路由权作为它的路由权。注意：缺省路由权的缺省值为不可达，所以引入路由时一定要设定引入路由权或设定缺省路由权。
Default-metric 命令的配置表示： 路径的带宽1000kb/s，拓扑延迟1000 微秒，路径的可信度 98%，路径的通道占用率 39%，最大传输单元 1500字节。
注意路由器上需配置了 OSPF 协议。
14.OSPF 协议及配置
可适应大规模网络
路由变化收敛速度快
无路由自环
支持等值路由
支持区域划分
提供路由分级管理
支持验证

OSPF 是 Open Shortest Path First（即“开放最短路由优先协议”）的缩写。它是 IETF 组织开发的一个基于链路状态的自治系统内部路由协议。在 IP 网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。
?? 适应范围 —— OSPF 支持各种规模的网络，最多可支持几百台路由器。
?? 快速收敛 —— 如果网络的拓扑结构发生变化，OSPF 立即发送更新报文，使这一变化在自治系统中同步。
?? 无自环 —— 由于 OSPF 通过收集到的链路状态用最小生成树算法计算路由，故从算法本身保证了不会生成自环路由。
?? 区域划分 —— OSPF 协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。
?? 等值路由 —— OSPF 支持到同一目的地址的最多三条等值路由。
?? 路由分级 —— OSPF 使用 4 类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。
?? 支持验证 —— 它支持基于接口的报文验证以保证路由计算的安全性。
14.OSPF 协议配置
router ospf enable 启动 OSPF 协议
ip ospf enable area 0 指定本接口运行的区域号
15.BGP 协议及配置
边界路由协议(Border Gateway Protocol)自治系统之间传播路由的动态路由协议的标准路由信息记录了它经过的自治系统，是一种向量路由，保证了无环路外部路由协议，与内部路由协议协同工作支持无类别域间路由(CIDR)

第十章：防火墙的及配置
1.防火墙的介绍
简单的说，防火墙的作用是在保护一个网络免受“不信任”网络的攻击的同时，保证两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。
2.网络安全的介绍
Quidway 系列路由器提供一个全面的网络安全解决方案，包括用户验证、授权、数据保护等。Quidway系列路由器所采用的安全技术主要包括：包过滤技术－针对IP地址的一种访问控制AAA验证－对用户进行验证、授权、计费的技术地址转换－屏蔽内部网络地址的一种技术VPN技术－提供一种安全“私有连接”的技术智能防火墙－可以针对内容等进行访问控制的技术加密和密钥管理技术在路由器中，包过滤技术是实现防火墙的最重要的手段。
3.IP 包过滤技术介绍
对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。
包过滤技术主要是设定一定的规则，控制数据包。路由器会根据设定的规则和数据包的包头信息比较，来决定是否允许这个数据包通过。
实现包过滤技术最核心内容就是访问控制列表。