网络构建第七章路由技术

第7幸第由班木

7.1广域网技术概述

7.2IP子网间的路由技术

7.3访问控制列表

7.4网络地址转换（NAT）技术

企业网络拓扑结构

□□00|

□□□□n□

□□

□□

□□□□□□

□□□□□□

3口口

服务供应商Z

□□□□□

□□□□□

□□□□□

R□□□口

□□□□

7.L2广域网接入技术分类

1点对点链路

数据报

数据流

2电路交换

每次会话建立一

条专用物理电路

3虚拟电路

SVCPVC

4包交换

采用统计利用技术实现电路共享ATM/帧中继/X.25

7.1.3广域网殁备

1广域网交换机

工作在osi的，

。对^进行操作

交换式多兆位数据服务（SDMS）是基于数据报的高速

分组交换WAN技术，主要用于公用数据网络的通信。

SMDS可以采用光纤介质或铜介质，另外，SMDS的数

据单元比较大，可以包容IEEE802.3、IEEE802.5和

FDDI的帧。

7.1.3广域网期

2接入服务器

E.--------WAN)

i------*--J

接入服务器一

__/

7.1.3广域网殁备

3调制解调器

4CSU/DSU

•信道服务单元（CSU）/数据服务单元（DSU）

•数据终端设备到数据通信设备的复用器

功能：信号再生，线路调节，误码纠正，信号

管理，同步和电路测试等

5ISDN终端适配器

6路由器（Router）

广域网接入

DTE常见的DTE与DCE之间的连接标准

（数据终端设备）

★EIA/TL4-232

#V.35

；嬴通讯设备）

7.1.4广域网中的数据链路层协议

定义数据如何封装和传输

包括点对点,多点和多路访问交换服务所

设计的协议

点到点协议(PPP)

高级数据链路控制(HDLC)协议

帧中继(FrameRelay)

7.L4广域网中的数据箧路层体议

专线

电路交换

分组交换

F.R网络的组成

FRS网桥

FRS

7.L4广域网中的数据链路层协议

TCP/IP口

IPX/SPXS

・PPP协议

AppleTalk

-支持同异步传输方式

Q—采用NCP协议（如IPCP、IPXCP）,

•HDLC,SLIP协议支持更多的网络层协议

-只支持异步传输方式-具有验证协议CHAP、PAP,

-只支持IP协议更好了保证了网络的安全性

-没有验证机制

7.1.5点对支快衩(PPP)

PPP是SLIP(SerialLineInterfaceprotocol)

的继承者

同步和异步电路实现路由器到路由器和主机到网

络(host-to-network)的连接。

PPP能支持差错检测，支持各种协议，在连接时IP

地址可复制，具有身份验证功能，可以以各种方

式压缩数据、支持动态地址协商、支持多链路捆

绑

PPP协议是目前使用最广泛的广域网协议

ppp的骑楸

(1)能够控制数据链路的建立；

(2)能够对IP地址进行分配和使用；

(3)允许同时采用多种网络层协议；

(4)能够配置和测试数据链路；

(5)能够进行错误检测；

(6)有协商选项，能够对网络层的地址和

数据压缩等进行协商。

ppp的现俄

(1)PPP采用高级数据链路控制(HDLC)作为在点

对点的链路上封装数据报的基本方法。

(2)链路控制协议LCP(LinkControlProtocol)

用于启动线路、测试、任选功能的协商及关闭连

接。

(3)网络控制协议NCP(NetworkControl

Protocol)用来建立和配置不同的网络层协议。

PPP协议允许同时采用多种网络层协议，如IP协议、

IPX协议和DECnet协议。PPP协议使用NCP对多种协

议进行封装。

ppp协议结构

OSI

3,PPP含话毫堂的过世

链路的建立和配置协调

通信的发起方发送来配置和检测数据链路，主要

用于协商选择将要采用的ppp参数，包括身份验证、压缩、

回叫、多链路等。

链路质量检测：

在链路建立、协调之后，这一阶段是可选的

网络层协议配置协调

通信的发起方发送以选择并配置网络层协议。配

置完成后，通信双方可以发送各自的网络层协议数据报。

关闭链路

通信链路将一直保持到LCP或NCP帧关闭链路

链路的建立和配置协调阶段中的

PPPLCP选项

PAPorCHAP

认证PSTN/ISDN

Authentication

回拨

Callback

压缩

多链路捆绑一yt—

Multilink_|_

包Bundle

实例/PC终端首先通过调制解调器呼叫远程访问服务器

PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程

访问模块应答了这个呼叫后，就建立起一个初始的物理连接

两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证,

接下来就开始认证过程

如果认证失败，如错误的用户名、密码，则链路被终止，双方负责

通信的设备或模块（如用户端的调制解调器或服务器端的远程访问

模块）将关闭物理链路回到空闲状态。如果认证成功，通信双方开

始交换一系列的NCP分组来配置网络层

如果网络层使用的是IP协议，此过程是由IPCP完成的。当NCP配置

完成后，双方的逻辑通信链路就建立好了，双方可以开始在此链路

上交换上层数据。

当数据传送完成后，一方会发起断开连接的请求。这时，首先使用

NCP来释放网络层的连接，归还IP地址，然后利用LCP来关闭数据链

路层连接，最后，双方的通信设备或模块关闭物理链路回到空闲状

O

4,PAP和CHAP原理

PPP提供了两种可选的身份认证方法:

口令验证协议(Password

AuthenticationProtocol,PAP)

挑战握手协议(ChallengeHandshake

AuthenticationProtocol,CHAP)

身份认证；PAP

PAP是一个简单的、实用的身份验证协议，PAP认

证进程只在双方的通信链路建立初期进行。如果

认证成功，在通信过程中不再进行认证。如果认

证失败，则直接释放链路。

当双方都封装了PPP协议且要求进行PAP身份认证,

同时它们之间的链路在物理层己激活后，认证客

户端（被认证一端）会不停地发送身份认证请求,

直到身份认证成功。当认证客户端路由器发送了

用户名或口令后，认证服务器会将收到的用户名

和口令与本地数据库中的口令信息比较，如果正

确则身份认证成功，否则认证失败。

身份认证/PAP（二次握手）

PPPPAP验证

ClientServer

Request(username,password)

Hostname:wzusernamewz

Password:hyper!23passwordhyper!23

•两次握手协议

■明文方式进行验证

身份认证；CHAP

CHAP认证比PAP认证更安全，因为CHAP不在

线路上发送明文密码，而是发送经过摘要

算法加工过的随机序列，也被称为“挑战

字符串”。同时，身份认证可以随时进行,

包括在双方正常通信过程中。因此，非法

用户就算截获并成功破解了一次密码，此

密码也将在一段时间内失效。

CHAP对系统要求很高，因为需要多次进行

身份质询、响应。这需要耗费较多的CPU资

源，因此只用在对安全要求很高的场合。

身份认证；CHAP（三次握手）

阶段L当被验证方（远端路由器）向验证方（中

心路由器）发送用户名做请求连接后，验证方向

被验证方发送一串随机字符（“挑战”阶段）

阶段2：被验证方利用口令和MD5算法，对随机字

符串进行加密产生密文，并将密文发送给验证方

（“回应”阶段）

阶段3：验证方利用同样的方式对随机字符串进行

加密产生密文，并将它与接收到的密文进行比较,

然后根据比较结果接受或拒绝连接请求，若比较

结果一致则接受，否则拒绝。

PPPCHAP验证

ClientServer

Success

Hostname:wzFailureusernamewz

Password:hyperi23passwordhyperi23

•CHAP为三次握手协议

•只在网络上传输用户名，而并不传输口令

•安全性要比PAP高，但认证报文浪费带宽

ppp认证配置

第一步

定义接口封装类型：

Router(config-if)#encapsulationppp

第二步

定义本地数据库：

Router(config)#usernameusernamepasswordpassword

ppp认证配置

第三步

定义PAP认证：

Router(config-if)#pppauthenticationpap<callin>

Router(config-if)#ppppapsent-usernameusername

passwordpassword

定义CHAP认证：

Router(config-if)#pppauthenticationchap<callin>

Router(config-if)#pppchaphostnameusername

Router(config-if)#pppchappasswordpassword

PPPPAP认证配置实例

PPPCHAP认证配置实例

ppp认证的调试

Router#showinterfacesserial<interfacenumber>

Router#debugpppauthentication

7.2IP3网间的路由技术

7.2.1什么是路由

7.2.2路由算法

7.2.3设计目标

7.2.4路由协议

725静态路由

7.2.6缺省路由

7.2.7动态路由

7.2.8RIP路由信息协议

CERNET费才卜画

中国教育和科研计算机网CERNET

ChinaEducationandResearchNetwork

ShenYian|

TQU.SA

____A

至日本

ToJapan

西安

Xi'Ah

WuHrni^

叁SI■■中心

MA楸口

广州

GUDPQZI

iiigKoftg

网络实训室通过校园网访问陈瑞球楼通过沙湾电信访问

&做

恒刚INNT梆tem32Mdexe的凶art

C：\>tracert百F口I胭©噩刈歹

Tracingrouteto[166,111.8.238]Tracingrouteto1166.111.8,2381

overamaximumof30hops：overaRaxiiinof30hops:

ArCA

1■HM

UbJ7

一

4fCas1009RS61M.21.58

I(10RS(10RS<10RS2t

vJ

41IARS95ns61M21⑫

2<10RS<10ns(10IDS61,144.42.293-U

4Ld7RS

—1109ns61.1U,10.49

♦/

3<10RS<10RS<10ns61,144.15.91二3u

X.-1

A/AIS186RS61.1U,0.5

MM

4<10RS<10ns<10FIS61,144.0.695yDy

411nIS%nsGE7-2-RH-GMI.161.U8.1.U

5(10RS(10RS15舲GE8-0-R2-C-GZ-B.[61,140.1.13]6£1d7

AAIS98msGE7-0-R2-C-GZ-R.I282.1K,1.K61

M

7z7

6(10ns<10RS(10ns61,140.0.5Q

0TARS99usP0Sl-H2-C-GZ-8.[282,105,1.1$8I

U

?31ns32ins15R$P-2~0"r2~c~$lish-i.13]87O7

C1AIS109is61.U0,9.13

.H

J1?

816ns31ns31ns49一

CISU9ns181

,fn

Jo7

m-V

915ns32ns31R$202.97.44,174CfrARS

J139Hs[202,97.37,971

/lhy

"Uuv7

10406ns438ms43?ms02Afn1RS199ms[282,97.34.11

7lu

UuRS

口超

11390ns40?RS406ns?C71289ns202g.37

I1

O—

12*390ns438nsnjsl)4,[202,112.46,77]r7znIS569ns202.9?,18>

Msh

u(v7

13*422ns421ms25e♦41ARS559ns

!i^M

4/

1♦71ARS158ns202J,123.17

RS”

1439840?RS421ns33^^^11M

.—y■

7AK施.112.61股

*n・

15438RS406ns[2024I2T3L20]^(0

■

74RS159ns2修112.53,1(

口66i1%吐_，

16422ns406RS406nsf1

一IS岫

、ns1202.112,301

17422ns43?RS438RS11^.111.92.82]/T*♦■

为Requestfinedout.

*・

18*406ns1]％■Requestfined吵//

194KRS*453ns[166,111.8.238]♦

*

hl1

7.2.1什么是路由

•路由:是把信息从源穿过网络传递到目的地行为

•路由的两个动作:确定最佳路径和数据转发

1.路径选择

度量值(Metric)下一跳目的网络

2.数据转发

不是同一网络的数据包总是发送给路由器

根据两个地址转发.下一跳路由器的MAC地；

端系统(ES--endsystem)

中介系统(IS“intermediatesystem)

域内IS(intradomainIS)和域间IS(interdomainIS)

722路由「法

路由算法使用许多不同的以确定最佳路

径

常用的metric如下：

1

2可靠性

3延迟

4带宽

5负载

6通信代价

7.2.3微计目标

路由算法通常具有下列设计目标的一个或多个:

1优化

2简单、低耗

3健壮、稳定

4快速聚合

5灵活性

7.2.4路由协衩

路由协议(RoutingProtocol)：用于路

由器动态寻找网络最佳路径，保证所有路

由器拥有相同的路由表，一般路由协议决

定数据包在网络上的行走路径。

RIP、IGRP、EIGRP、OSPF、ISTS、EGP、BGP

路由协议通过提供共享路由选择信息的机

制来支持可路由协议

路由协议消息在路由器之间传送，路由协

议允许路由器与其他路由器通信来修改和

维护路由选择表。

7.2.4路由林衩

1RoutedProtocol()

IP、DECnet>AppleTalksNovellNetWare

2路由动作包括：寻址和转发

3路由表

在路由器的内部都有一个路由表，这

个路由表中包含有该路由器知道的目的网

络地址以及通过此路由器到达这些网络的

最佳路筱，如某个接口或下一跳的地址，

正是由于路由袤的存在，路由器可以依据

它进行需发。

7.2.4路由4办衩

4路由选择算法

必须启动并维护包含路由信息的路由表,

其中路由信息依赖于所用的路由选择算法

却不尽相同。路由选择算法将收集到的不

同信息埴八路由表中，并根据路由表可将

司的网络与下一站（nexthopj的关系告

诉路由器。

5路由器就是互联网中的中转站

7.2.4路由协衩

6Router（路由器）可以路由数据包，必须至

少知道以下状况：

1）目标地址（destinationaddressj

2）可以学习到远端网络状态的邻居router

3）到达远端网络的所有路径

4）到达远端网络的最佳路径

5）如何保持和验证路由信息

7.2.4路由协衩

7典型的路由选择方式有两种:

1）动态路由与静态路由发生冲突时,以静态

路由为准

2）路由器中进行寻径时,路由器首先查找静

态路由,如果查到则根据相应的静态路由

转发分组;否则再查找动态路由。

725静态路由

•静态路由是指由网络管理员手工配置

静态路由的路由器之间没有必要进行路由

信息的交换

动态路由因为需要路由器之间频繁地交换

各自的路由表,而对路由表的分析可以揭

示网络的拓扑结构和网络地址等信息,因

此存在一定的不安全性,而静态路由不存

在这样的问题,故出于安全方面的考虑也

可以采用静态路由。

大型和复杂的网络环境通常不宜采用静态

脑由

725静态路由

点对点或

电路交换连接

只有一个网络

连接没有必要

进行路由信息

的更改

Network1

配置静忠路由

iproute

router（config）#iproute［网络编号］［子网掩码］

［转发路由器的IP地址/本地接口］

静态路由的一般配置步骤

L为每条链路确定地址（包括子网地址和网络地

址）

2.为每个路由器,标识非直连的链路地址

3.为每个路由器写出未直连的地址的路由语句（

写出直连地址的语句是没必要的）

管忠路由配置实例

ro,uter(config)#iproute

或

router(config)#iprouteserial0

删除静态路由用命令noiproute

router(config)#noiproute［网络编号］［子网掩码］

72.6缺选（默认）路由

所有未明确指明目标网络的数据；版&杭源颦笨

包都按缺省路由讲行转发。/省路由J______

router(config)#iproute

缺省路由一般使用在stub网络中（称末端或存根网

络），stub网络是只有1条出口路径的网络。

727劭态路由

动态路由是指路由器能够自动地建立自B

的路由表，并且能够根据实际情况的变化

适时地进行调整。

727劭态路由

动态路由机制的运作依赖路由器的两个基

本功能：对路由表的维护，路由器之间适

时的路

路由器1路由器2

劭态路由例衩的今类

链路状态协议(OSPF,IS・IS)

距离矢量协议(RIPvl,RIPv2,IGRP,

EIGRP)

EGP(外部网关协议)

BGP(边界网关协议)

外部网关协议：在自治系统之间交换路由选择

信息的互联网络协议，如BGP。

内部网关协议：在自治系统内交换路由选择信

息的路由协议，常用的因特网内部网关协议有

OSPF、RIPO

劭态路由例衩的今类

施离矢量路由协议—

2,链路状态路由协议

OSPF：开放式最短路径优先(OpenShortest

PathFirst)是一种链路状态路由协议。每一个

OSPF路由器都维护一个相同的网络拓扑数据库，

从这个数据库中，可以构造一个最短路径树来计

算路由表。OSPF的收敛速度比RIP要快，而且在

更新路由信息时，产生的流量也较少。为了管理

大规模的网络，OSPF采用分层的连接结构，修自

治系统分为不同的区域，以减少路由重计算的时

间。

728RIP

RIP（RoutingInformationProtocols,路由

信息协议）

是典型的距离矢量协议，通过计算抵达目

的地的最少跳数（hop）来选取最佳路径

路由器每30秒相互发送广播信息

RIP协议的跳数最多计算到15跳

网络上的路由器在一条路径不能用时必须

经历决定替代路径的过程，这个过程称为

收敛

RTPlKr点TH#同K

728RIP

RIP协议的原始版本（版本1,即RIPvl）不能应用

VLSM,因此不能分割地址空间以最大效率地应用

有限的IP地址。RIP协议的后来版本（版本2,即

RIPv2）通过引入子网屏蔽与每一路由广播信息一

起使用实现了这个功能。

路由协议还应该能防止数据包进入循环，或落入

路由选择循环，这是由于多余连接影响网络的问

题。RIP协议假定如果从网络的一个终端到另一个

终端的路由跳数超过15个，那么一定牵涉到了循

环，因此当一个路径达到16跳，将被认为是达不

到的。显然，这限制了RIP协议在网络上的使用。

728RIP

•RIP协议设计用于使用同种技术的中小型网

络，适用于大多数的校园网和使用速率变

化不是很大的连续性的地区性网络

•RIP的路由信息都封装在UDP的数据报中，

RIP在UDP的520端口上

728RIP

路由更新

早期的RIP路由协议中路由的更新是通过定时广播实现

的。缺省情况下，路由器每隔向与它相连的网络

,接到广播的路由器将收到的信

息添加至自身的路由表中。每个路由器都如此广播，最

终网络上所有的路由器都会得知全部的路由信息。正常

情况下，每30秒路由器就可以收到一次路由信息确认，

如果经过180秒，即6个更新周期，一个路由项还没有

得到确认，路由器就认为它已了。如果经过40

,即8个更新周期，路由项仍没有得到确认，它就被

o上面的30秒，180秒和240秒的延

时都是由计时器控制的，它们分别是更新计时器

(UpdateTimer)、无效计时器(InvalidTimer)和

刷薪计时器(FlushTimer)。

配置RIP

启用媪进程/

router(config)#routerrip

router(config-router)#

2.配置network命令

router(config-router)#network〈主类网络号〉

含义：L公布属于该主类的子网

2.包含在该主类内的接口发送接收路由信息

3.指^RIP版本

router(config-router)#VERSION{112}

配置举例

在路由器Router1上的RIP配置如下:

1.启用RIP进程

router(config)ttrouterrip

2.配置network命令

-v»11A-z-x■xi-p-I-lz-»z-x11-4-nz»\"H"-v"i-4-TTT-«/"»1r-1,7

172.16.1.0/24172.16.2.0/24172.16.3.0/24

RonterlRoutei'2

RIP的调试

验证RIP的配置

router#showipprotocols

显示路由表的信息

router#showiproute

清除IP路由表的信息

router#cleariproute*

在控制台显示RIP的工作状态

router#debugiprip

RIP的秋陷

1.过于简单，以跳数为依据计算度量值，经

常得出非最优路由；

2.度量值以16为限，不适合大的网络；

3.性能差，接受来自任何设备的路由更新；

4.支持无类IP地址和VLSM（VariableLength

SubnetMask,变长子网掩码）；

5.收敛缓慢，时间经常大于5分钟；

6.带宽很大。

7.3扬同控制列表

访问控制列表(accesscontrollists),

也称为访问列表(accesslists),在有

的文档中还称之为包过滤，是通过定义一

些准则对经过路由器接口上的数据报文进

行控制：转发或丢弃。

基本访问控制列表

高级访问控制列表(动态访问控制列表)

7.3彳方冏按制列表

•为什么要配置访问列表

限制路由更新

限制网络访问

•什么时候配置访问列表

•访问列表编号

列表要指定一个唯一的名称或编号，以便在协议

内部能够唯一标识每个访问列表

标准编号为：L99

犷展编号为：100-199

7.3基本彷冏按喇列袤配置雍则

1基本准则

典型准则主要有以下：

源地址

6林地址

上层协议

标准IP访问列表(1-99)主要是根据源地

址来进行转发或阻断分组的，扩展IP访问

列表(100-199)使用以上三种组合来进

行转发或阻断分组的。

7.3基本彷冏按喇列袤配置雍则

2隐含“拒绝所有数据流”准则语句典型准则

在每个访问列表的末尾隐含着一条“拒绝所有数据

流”准则语句，因此如果分组与任何准则都不匹配，将被

拒绝。

3.输入准则语句的顺序

加入的每条准则都被追加到访问列表的最后,语句被创建

以后，就无法单独删除它，而只能删除整个访问列表。所

以访问列表语句的次序非常重要。路由器在决定转发还是

阻断分组时，路由器按语句创建的次序将分组与语句进行

比较，找到匹配的语句后，便不再检查其他准则语句。

假设创建了一条语句，它允许所有的数据流通过，则后面

的语句将不被检查。

7.4网络地址浩换（NAT）

•NAT最初的目的也是通过允许较少的

公用IP地址代表多数的专有IP地址来

减缓IP地址空间枯竭的速度

在RFC3022中描述的IP地址转换操作

扩展了RFC1631介绍的地址转换，包

括了一类的网络地址和TCP/UDP端口

转换。

内部网络a外部网络空

PacketI*3Packet

源地址：00〃源地址：202.123”

目标地址：192.16250)目标地址：04-'

00/24^0/24^

Packet2'Packet2，,

源地址：19216.2.50+，源地址：192.16.2处

目标地址:00“目标地址：202.123/

图7-11NAT路由器用一个公网地址2021.2.3替