网络技术(路由部分)h3c

网络技术（路由）教育网络安全员培训Page2/90本章目标路由器常用技术静态路由动态路由ACL路由器常见故障排查Page3/90什么是路由？路由跨越从源主机到目标主机的一个互联网络来转发数据包的过程能够将数据包转发到正确的目的地，并在转发过程中选择最佳路径的设备－路由器Page4/90路由器工作原理5－11.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data主机1.1要发送数据到4.2路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0Page5/90路由器工作原理5－2路由表网段接口1.0E02.0S04.0S01.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器接收到数据，查看数据包中的目标地址为4.2，查找路由表路由表网段接口1.0S02.0S04.0E0Page6/90路由器工作原理5－31.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器1根据路由表转发数据到S0口路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0Page7/90路由器工作原理5－41.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器2接收到数据包，查看数据包的目标地址，并查找路由表路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0Page8/90路由器工作原理5－51.04.01.3E04.3S02.2E02.1S01.2Router1Router2Data路由器2根据路由表转发数据到E0口路由表网段接口1.0E02.0S04.0S0路由表网段接口1.0S02.0S04.0E0主机4.2接收到数据包Page9/90路由表路由表：在路由器中维护的路由条目，路由器根据路由表做路径选择。路由表网段接口1.0E02.0S04.0S0那么这张表是怎么形成的呢？Page10/90直连路由当在路由器上配置了接口的IP地址，并且接口状态为up的时候，路由表中就出现直连路由项f0/0f0/1路由表网段接口/24f0/0/8f0/1/24/8/8对于不直连的网段，需要静态路由或动态路由，将网段添加到路由表中Page11/90静态路由静态路由是由管理员手工配置的，是单向的。1S01B1NetworkAB到达网段，需要将数据包转发给路由器B的的接口Page12/90默认路由当路由器在路由表中找不到目标网络的路由条目时，路由器把请求转发到默认路由接口StubNetwork-末节网络1S0B1NetworkAB不论去往哪里的非本网段的数据包都转发给路由器A的接口Page13/90静态与默认路由适用的环境静态路由特点路由表是手工设置的除非网络管理员干预，否则静态路由不会发生变化路由表的形成不需要占用网络资源适用环境一般用于网络规模很小、拓扑结构固定的网络中

默认路由特点在所有路由类型中，默认路由的优先级最低适用环境一般应用在只有一个出口的末端网络中或作为其他路由的补充Page14/90路由和交换对比路由工作在网络层根据“路由表”转发数据路由选择路由转发交换工作在数据链路层根据“MAC地址表”转发数据硬件转发Page15/90静态路由的配置2－1如果路由器A连接的网络需要访问网段的主机，需要做什么设置？1fa0/01B1NetworkAB1011fa0/1fa0/0Page16/90静态路由的配置2－2<H3C>system-view[H3C-Ethernet0/0]ipaddress[H3C-Ethernet0/0]noshutdown[H3C-Ethernet0/0]quit[H3C]iproute-static配置接口IP地址激活端口配置静态路由目标网段目标网段的掩码下一跳地址Page17/90默认路由的配置2－1网段的主机需要访问外部的网络，B路由器是这个网段唯一的出口，可以在B路由器上配置默认路由。1fa0/01B1NetworkABfa0/1fa0/0Page18/90默认路由的配置2－2<H3C>system-view[H3C]interfacee0/1[H3C-Ethernet0/1]ipaddress[H3C-Ethernet0/1]noshutdown[H3C-Ethernet0/1]exitRouterB(config)#interfacef0/0[H3C-Ethernet0/0]ipaddress[H3C-Ethernet0/0]noshutdown[H3C-Ethernet0/0]exit[H3C]iproute-static

表示任何网络下一跳地址Page19/90查看路由表[H3C]displayiprouting-tableRoutingTables:PublicDestinations:4Routes:4Destination/MaskProtoPreCostNextHopInterface/8Direct00InLoop0/32Direct00InLoop0/24Direct00Vlan1/32Direct00InLoop0表示直连路由Page20/90检查配置是否正确2－1在路由器A上，使用ping命令检查与网段的主机是否连通：

RouterA#ping0如果ping通，此时在路由器A上显示：Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms如果不通，在路由器A上会显示：Typeescapesequencetoabort.Sending5,100-byteICMPEchosto0,timeoutis2seconds:.....Successrateis0percent(0/5)静态路由配置与验证演示Page21/90检查配置是否正确2－2如果不通，可能是：连接线缆的问题接口还是shutdown的状态IP地址配置的问题静态路由配置不正确……检查方法：分段检查：定位故障的位置Page22/90分段检查4－1A不能ping通主机0是否能ping通B的f0/1口是：说明故障不在A与B的连接部分是否能ping通B的f0/0口是问题不在A上Page23/90分段检查4－2A不能ping通主机0是否能ping通B的f0/1口问题不在A上IP地址是否配置正确是A的f0/0口是否up是否否修改IP地址Page24/90分段检查4－3A不能ping通主机0是否能ping通B的f0/1口否问题不在A上administrativedown12否lineprotocolisdownA的f0/0口是否up激活端口检查线缆或否Page25/90分段检查4－4A不能ping通主机0是否能ping通B的f0/1口是：说明故障不在A与B的连接部分是否能ping通B的f0/0口问题不在A上否路由是否配置正确是否修改路由配置动态路由协议Page27/90什么是动态路由？5－1R1R2R3配置了接口IP地址后，路由器的路由表中包含什么内容？RoutingTableNETMetricC0C0f0/0f0/.2Page28/90什么是动态路由？5－2如果配置静态路由，需要配置什么？Iproute

Iproute

R1R2R3f0/0f0/1动态路由不需要手工写路由，路由器之间能够自己互相学习！我的路由表是：和我的路由表是：和我的路由表是：和.Page29/90什么是动态路由？5－3R1R2R3f0/0f0/1RoutingTableNETMetricC0C0????不同的路由协议，有不同的值路由更新信息：.Page30/90什么是动态路由？5－4R1R2R3f0/0f0/1RoutingTableNETMetricC0C0能够对拓朴的改变作出及时的反应.Page31/90什么是动态路由5－5什么是动态路由网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新和维护路由表的过程基于某种路由协议实现的动态路由的特点减少管理任务占用网络带宽Page32/90动态路由协议动态路由协议向其他路由器传递路由信息接收其他路由器的路由信息根据收到的路由信息计算出到每个目的网络的最优路径，并由此生成路由表根据网络拓朴变化及时调整路由表，同时向其他路由器宣告拓朴改变的信息Page33/90动态路由协议的分类根据路由所执行的算法分类距离矢量路由协议链路状态路由协议Page34/90距离矢量路由协议

路由器每经过特定时间周期向邻居发送自己的路由表距离：有多远矢量：从哪个方向R1R2R我能够到达路由器R，距离是5我通过R2可以到达路由器R，R2到R之间的具体细节我不清楚Page35/90链路状态路由协议2－1

从对等路由器处获取信息，建立一张完整的网络图－链路状态数据库R1R3R2R4Page36/90链路状态路由协议2－2再根据链路状态数据库，用SPF（最短路径树）算法计算出一个以自己为根的树型结构，再生成路由表R1R3R2R4SPF算法路由表Page37/90RIP路由协议概述RIP是为TCP/IP环境中开发的第一个路由选择协议标准RIP是一个距离-矢量路由选择协议

Page38/90RIP工作原理

RIP路由协议向邻居发送整个路由表信息

RIP路由协议以跳数作为度量值根据跳数的多少来选择最佳路由最大跳数为15跳，16跳为不可达经过一系列路由更新，网络中的每个路由器都具有一张完整的路由表的过程，称为收敛Page39/90RIP路由协议的版本

RIPv1发送路由更新时不携带子网掩码，属于有类路由协议发送路由更新时，目标地址为广播地址：55

RIPv2发送路由更新时携带子网掩码，属于无类路由协议发送路由更新时，目标地址为组播地址：Page40/90OSPF协议概述－内部网关路由协议AS1AS2OSPF内部网关路由协议用于在单一自治系统(Autonomous

System-AS)内决策路由自制系统（AS）执行统一路由策略的一组网络设备的组合例如：RIPOSPF等例如：BGP外部网关路由协议（EGP）

用来连接不同的AS内部网关路由协议（IGP）Page41/90为了适应大型的网络，OSPF在AS内划分多个区域每个OSPF路由器只维护所在区域的完整的链路状态信息OSPF协议概述－区域ASArea0Area1Area2骨干区域边界路由器了解area0和Area2的链路信息Page42/90OSPF协议概述－链路状态路由协议2-1RA103020OSPF是链路状态路由协议，链路状态路由协议中的路由器了解OSPF网络内的链路状态信息最初，RA只知道直连的3个网段10、20、30，RB、RC、RD也一样RARBRCRD1050302060804070Page43/90链路状态路由协议中，直连的路由器之间建立邻接关系，互相“交流”链路信息，来“画”出完整的网络结构OSPF协议概述－链路状态路由协议2-2RA10302050RB40RD8070RC60为了标识链路信息是由谁发出的，用RouterID标识路由器路由器学习到的链路信息，保存在链路状态数据库中相邻路由器之间建立邻接关系，保存在邻居列表中Page44/90何时需要OSPF路由协议网络的规模网络中的路由器在10台以上；中等或大规模的网络网络的拓扑结构网络的拓扑结构为网状，并且任意两台路由器之间都有互通的需求其它特殊的需求要求路由变化时能够快速收敛，要求路由协议自身的网络开销尽量降低对路由器自身的要求运行OSPF协议时，对路由器的CPU的处理能力及内存的大小都有一定的要求，性能很低的路由器不推荐使用OSPF协议Page45/90OSPF路由协议的特点可适应大规模网络路由变化收敛速度快无路由环支持变长子网掩码VLSM支持区域划分支持以组播地址发送协议报Page46/90OSPF与RIP的比较OSPFRIPV1RIPV2链路状态路由协议距离矢量路由协议没有跳数的限制RIP的15跳限制，超过15跳的路由被认为不可达支持可变长子网掩码(VLSM)不支持可变长子网掩码(VLSM)支持可变长子网掩码(VLSM)收敛速度快收敛速度慢使用组播发送链路状态更新，在链路状态变化时使用触发更新，提高了带宽的利用率周期性广播整个路由表，在低速链路及广域网中应用将产生很大问题访问控制列表ACLPage48/90什么是访问控制列表访问控制列表（ACL）应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝ACL的工作原理读取第三层及第四层包头中的信息根据预先定义好的规则对包进行过滤Page49/90访问控制列表的作用2-1提供网络访问的基本安全手段可用于QoS，控制数据流量控制通信量Page50/90主机A主机B人力资源网络研发网络使用ACL阻止某指定网络访问另一指定网络

访问控制列表的作用2-2Page51/90实现访问控制列表的核心技术是包过滤Internet公司总部内部网络未授权用户办事处访问控制列表访问控制列表工作原理2-1Page52/90通过分析IP数据包包头信息，进行判断（这里IP所承载的上层协议为TCP）IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素定义的规则访问控制列表工作原理2-2Page53/90匹配下一步拒绝允许允许允许到达访问控制组接口的数据包匹配第一步目的接口隐含的拒绝丢弃YYYYYYNNN路由器对访问控制列表的处理过程匹配下一步拒绝拒绝拒绝Page54/90访问控制列表入与出3-1使用命令ipaccess-group将ACL应用到某一个接口上在接口的一个方向上，只能应用一个access-list[H3C-Ethernet0/1]packet-filter{in|out}ip-groupaccess-list-numberPage55/90进入数据包源地址匹配吗？有更多条目吗？应用条件拒绝允许路由到接口查找路由表是是否是否Icmp消息转发数据包接口上有访问控制列表吗？列表中的下一个条目否访问控制列表入与出3-2Page56/90外出数据包查找路由表接口上有访问控制列表吗？源地址匹配吗？拒绝允许列表中的下一个条目是是转发数据包Icmp消息否否否

有更多条目吗？访问控制列表入与出3-3应用条件是Page57/90Deny和permit命令[H3C]aclnum2000[H3C-acl-basic-2000]rule{permit|deny}{testconditions}允许数据包通过应用了访问控制列表的接口拒绝数据包通过Page58/90第一步，创建访问控制列表第二步，应用到接口e0的出方向上

[H3C]aclnumber2001[H3C-acl-basic-2001]ruledenysource3[H3C-acl-basic-2001]rule

permitsource55[H3C-acl-basic-2001]rule

permit55[H3C]interfacee0/0[H3C-Ethernet0/0]packet-filteroutip-group2001访问控制列表实例Page59/90访问控制列表的种类基本类型的访问控制列表标准访问控制列表扩展访问控制列表

其他种类的访问控制列表基于MAC地址的访问控制列表基于时间的访问控制列表Page60/90扩展acl标准acl路由器B路由器C路由器D路由器AS0S0S1S1E0E0E1E0E0E1应用访问控制列表源目的Page61/90标准访问控制列表3-1标准访问控制列表根据数据包的源IP地址来允许或拒绝数据包访问控制列表号从2000到2999Page62/90标准访问控制列表3-2标准访问控制列表只使用源地址进行过滤，表明是允许还是拒绝从/24来的数据包可以通过！从/24来的数据包不能通过！路由器Page63/90如果在访问控制列表中有的话应用条件拒绝允许更多条目？列表中的下一个条目否

有访问控制列表吗？源地址不匹配是匹配是否Icmp消息转发数据包标准访问控制列表3-3Page64/90标准访问控制列表的配置第一步，使用access-list命令创建访问控制列表第二步，使用ipaccess-group命令把访问控制列表应用到某接口[H3C]aclnum2000[H3C-acl-basic-2000]rule{permit|deny}{testconditions}[H3C-Ethernet0/X]packet-filter{in|out}ip-groupaccess-list-numberPage65/90标准ACL应用1：允许特定源的流量2-1Non-E0E1S03Page66/90标准ACL应用：允许特定源的流量2-2第一步，创建允许来自的流量的ACL第二步，应用到接口E0和E1的出方向上Router(config)#access-list1permit55Router(config)#interface

fastethernet0/0Router(config-if)#ipaccess-group1outRouter(config)#interface

fastethernet0/1Router(config-if)#ipaccess-group1outPage67/90标准ACL应用：拒绝特定主机的通信流量第一步，创建拒绝来自3的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1denyhost3Router(config)#access-list1permit55Router(config)#interface

fastethernet0/0Router(config-if)#ipaccess-group1outanyPage68/90标准ACL应用：拒绝特定子网的流量第一步，创建拒绝来自子网的流量的ACL第二步，应用到接口E0的出方向Router(config)#access-list1deny55Router(config)#access—list1permitanyRouter(config)#interface

fastethernet0/0Router（config-if）#ipaccess-group1out55Page69/90扩展访问控制列表4-1扩展访问控制列表基于源和目的地址、传输层协议和应用端口号进行过滤每个条件都必须匹配，才会施加允许或拒绝条件使用扩展ACL可以实现更加精确的流量控制访问控制列表号从3000到3999

Page70/90扩展访问控制列表4-2扩展访问控制列表使用更多的信息描述数据包，表明是允许还是拒绝从/24来的,到3的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器Page71/90有访问控制列表吗？源地址目的地址协议协议任选项应用条件拒绝允许更多条目？列表中的下一个条目不匹配否是匹配匹配匹配匹配是否Icmp消息转发数据包如果在访问控制列表中有的话扩展访问控制列表4-3不匹配不匹配不匹配Page72/90端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)UDP80WWW万维网TCP扩展访问控制列表4-4Page73/90扩展访问控制列表的配置3-1第一步，使用access-list命令创建扩展访问控制列表[H3C]aclnumber3001[H3C-acl-adv-3001]rule{permit|deny}protocol

[sourcesource-wildcarddestinationdestination-wildcard][operatorport][established][log]Page74/90扩展访问控制列表操作符的含义操作符及语法