第7章路由技术

第7章路由技术1/31/202517.1广域网技术概述7.2IP子网间的路由技术7.3

访问控制列表7.4网络地址转换（NAT）技术1/31/20252服务供应商

企业网络拓扑结构1/31/202531点对点链路2电路交换3虚拟电路服务供应商服务供应商

7.1.2广域网接入技术分类数据报数据流每次会话建立一条专用物理电路SVCPVC4包交换采用统计利用技术实现电路共享ATM/帧中继/X.251/31/202547.1.3广域网设备1广域网交换机工作在OSI的数据链路层，对帧中继，X.25以及SMDS等数据流量进行操作

交换式多兆位数据服务（SDMS）是基于数据报的高速分组交换WAN技术,主要用于公用数据网络的通信。SMDS可以采用光纤介质或铜介质，另外，SMDS的数据单元比较大，可以包容IEEE802.3、IEEE802.5和FDDI的帧。

1/31/202557.1.3广域网设备2接入服务器1/31/202567.1.3广域网设备3调制解调器4CSU/DSU信道服务单元（CSU）/数据服务单元（DSU）

数据终端设备到数据通信设备的复用器

功能：信号再生，线路调节，误码纠正，信号管理，同步和电路测试等

5ISDN终端适配器6路由器(Router)1/31/20257服务供应商

广域网接入常见的DTE与DCE之间的连接标准

★EIA/TIA-232

★V.35

DTE

(数据终端设备)DCE

(数据通讯设备)1/31/202587.1.4广域网中的数据链路层协议

定义数据如何封装和传输包括点对点，多点和多路访问交换服务所设计的协议点到点协议（PPP）高级数据链路控制（HDLC）协议

帧中继（FrameRelay）

1/31/20259专线电路交换分组交换HDLC,PPPPPP,HDLCX.25,F-R服务供应商服务供应商7.1.4广域网中的数据链路层协议1/31/202510F.R网络的组成FRSFRSFRSFRS网桥CSU/DSURouterRouter广域网PSTN,X.25,DDNRouter帧中继在这里工作HostBridgeLANLANLAN1/31/202511TCP/IPIPX/SPXPPPSLIPHDLCAppleTalk•HDLC,SLIP协议–只支持异步传输方式–只支持IP协议–没有验证机制•PPP协议–支持同异步传输方式–采用NCP协议（如IPCP、IPXCP），支持更多的网络层协议–具有验证协议CHAP、PAP，

更好了保证了网络的安全性7.1.4广域网中的数据链路层协议7.1.5点对点协议(PPP)PPP是SLIP（SerialLineInterfaceprotocol）的继承者同步和异步电路实现路由器到路由器和主机到网络（host-to-network）的连接。PPP能支持差错检测，支持各种协议，在连接时IP地址可复制，具有身份验证功能，可以以各种方式压缩数据、支持动态地址协商、支持多链路捆绑PPP协议是目前使用最广泛的广域网协议1/31/202513PPP的特性（1）能够控制数据链路的建立；（2）能够对IP地址进行分配和使用；（3）允许同时采用多种网络层协议；（4）能够配置和测试数据链路；（5）能够进行错误检测；（6）有协商选项，能够对网络层的地址和数据压缩等进行协商。1/31/202514PPP的功能（1）PPP采用高级数据链路控制（HDLC）作为在点对点的链路上封装数据报的基本方法。（2）链路控制协议LCP（LinkControlProtocol）用于启动线路、测试、任选功能的协商及关闭连接。（3）网络控制协议NCP（NetworkControlProtocol）用来建立和配置不同的网络层协议。PPP协议允许同时采用多种网络层协议，如IP协议、IPX协议和DECnet协议。PPP协议使用NCP对多种协议进行封装。1/31/202515(EIA/TIA-232、449、520,V.21V.24,V.35,ISDN)LCP(连接控制协议)NCP(网络控制协议)OSI21(IP,IPX,AppleTalk)3PPP协议结构BCPIPCPIPXCP1,同步2,异步3，PPP会话建立的过程链路的建立和配置协调

通信的发起方发送LCP帧来配置和检测数据链路，主要用于协商选择将要采用的PPP参数，包括身份验证、压缩、回叫、多链路等。

链路质量检测：在链路建立、协调之后，这一阶段是可选的

网络层协议配置协调

通信的发起方发送NCP帧以选择并配置网络层协议。配置完成后，通信双方可以发送各自的网络层协议数据报。

关闭链路

通信链路将一直保持到LCP或NCP帧关闭链路1/31/202517PAPorCHAP认证AuthenticationPSTN/ISDNPSTN/ISDN回拨Callback压缩Compression多链路捆绑Multilink包BundleData链路的建立和配置协调阶段中的

PPPLCP选项实例：PC终端首先通过调制解调器呼叫远程访问服务器

PC终端首先通过调制解调器呼叫ISP的路由器。当路由器上的远程访问模块应答了这个呼叫后，就建立起一个初始的物理连接两端开始传送一系列经过PPP封装的LCP分组。如果有一方要求认证，接下来就开始认证过程如果认证失败，如错误的用户名、密码，则链路被终止，双方负责通信的设备或模块（如用户端的调制解调器或服务器端的远程访问模块）将关闭物理链路回到空闲状态。如果认证成功，通信双方开始交换一系列的NCP分组来配置网络层如果网络层使用的是IP协议，此过程是由IPCP完成的。当NCP配置完成后，双方的逻辑通信链路就建立好了，双方可以开始在此链路上交换上层数据。当数据传送完成后，一方会发起断开连接的请求。这时，首先使用NCP来释放网络层的连接，归还IP地址，然后利用LCP来关闭数据链路层连接，最后，双方的通信设备或模块关闭物理链路回到空闲状态。1/31/2025194，PAP和CHAP原理PPP提供了两种可选的身份认证方法：

口令验证协议（PasswordAuthenticationProtocol，PAP）挑战握手协议（ChallengeHandshakeAuthenticationProtocol，CHAP）

1/31/202520身份认证：PAPPAP是一个简单的、实用的身份验证协议，PAP认证进程只在双方的通信链路建立初期进行。如果认证成功，在通信过程中不再进行认证。如果认证失败，则直接释放链路。当双方都封装了PPP协议且要求进行PAP身份认证，同时它们之间的链路在物理层己激活后，认证客户端（被认证一端）会不停地发送身份认证请求，直到身份认证成功。当认证客户端路由器发送了用户名或口令后，认证服务器会将收到的用户名和口令与本地数据库中的口令信息比较，如果正确则身份认证成功，否则认证失败。

1/31/202521身份认证：PAP（二次握手）PAP认证过程经过了两个阶段，通常称为两次握手

阶段1：被验证方（远端路由器）发送用户名和口令到验证方阶段2：验证方（中心路由器）对用户名和口令进行认证，根据结果返回接受或拒绝认证请求的信息。PAP认证可以在一方进行，即由一方认证另一方的身份，也可以进行双向身份认证。这时，要求被认证的双方都要通过对方的认证程序，否则，无法建立二者之间的链路。PAP的弱点是用户的用户名和密码是明文发送的，有可能被协议分析软件捕获而导致安全问题。但恰恰是这样，认证只在链路建立初期进行，因此节省了宝贵的链路带宽。

1/31/202522ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Request(username,password)AuthNakPPPPAP验证AuthAck两次握手协议明文方式进行验证身份认证：CHAPCHAP认证比PAP认证更安全，因为CHAP不在线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，也被称为“挑战字符串”。同时，身份认证可以随时进行，包括在双方正常通信过程中。因此，非法用户就算截获并成功破解了一次密码，此密码也将在一段时间内失效。CHAP对系统要求很高，因为需要多次进行身份质询、响应。这需要耗费较多的CPU资源，因此只用在对安全要求很高的场合。1/31/202524身份认证：CHAP（三次握手）CHAP认证过程经过了三个阶段，通常称为三次握手：阶段1：当被验证方（远端路由器）向验证方（中心路由器）发送用户名做请求连接后，验证方向被验证方发送一串随机字符（“挑战”阶段）阶段2：被验证方利用口令和MD5算法，对随机字符串进行加密产生密文，并将密文发送给验证方（“回应”阶段）阶段3：验证方利用同样的方式对随机字符串进行加密产生密文，并将它与接收到的密文进行比较，然后根据比较结果接受或拒绝连接请求，若比较结果一致则接受，否则拒绝。1/31/202525ClientServerHostname:wzPassword:hyper123usernamewzpasswordhyper123Challenge挑战字符串ResponseSuccessPPPCHAP验证FailureCHAP为三次握手协议只在网络上传输用户名，而并不传输口令安全性要比PAP高，但认证报文浪费带宽

第一步定义接口封装类型:

Router(config-if)#encapsulation

ppp

第二步定义本地数据库:

Router(config)#username

usernamepasswordpasswordPPP认证配置第三步定义PAP认证:

Router(config-if)#pppauthenticationpap<callin>Router(config-if)#ppppapsent-usernameusernamepasswordpassword定义CHAP认证:

Router(config-if)#pppauthenticationchap<callin>Router(config-if)#pppchaphostnameusernameRouter(config-if)#pppchappasswordpasswordPPP认证配置ISDN/PSTNhostnameleftusernamerightpasswordright1int

bri0encapsulationppppppauthenticationPAPipadd10.0.0.1255.255.255.0ppppapsent-usernameleft

passwordleft1hostnamerightusernameleftpasswordleft1int

bri0encapsulationppppppauthenticationPAPipadd10.0.0.2255.255.255.0ppppapsent-usernameright

passwordright1PPPPAP认证配置实例ISDN/PSTNUsernamerightpasswordstarnethostnameR1intserial0

encapsulationppp

pppauthenticationCHAP

pppchaphostnameleft

pppchappasswordstarnetPPPCHAP认证配置实例UsernameleftpasswordstarnethostnameR2intserial0

encapsulationppp

pppauthenticationCHAP

pppchaphostnameright

pppchappasswordstarnetRouter#showinterfacesserial

<interfacenumber>PPP认证的调试Router#debugpppauthentication7.2IP子网间的路由技术7.2.1什么是路由7.2.2路由算法7.2.3设计目标7.2.4路由协议7.2.5静态路由7.2.6缺省路由7.2.7动态路由7.2.8RIP路由信息协议1/31/202532CERNET拓扑图1/31/202533北京Cernet主节点网络实训室通过校园网访问陈瑞球楼通过沙湾电信访问1/31/2025347.2.1什么是路由路由:是把信息从源穿过网络传递到目的地行为

路由的两个动作:确定最佳路径和数据转发路径选择度量值(Metric)下一跳目的网络数据转发

不是同一网络的数据包总是发送给路由器

根据两个地址转发:下一跳路由器的MAC地址目的主机的IP协议地址端系统（ES--endsystem）中介系统（IS--intermediatesystem）域内IS（intradomainIS）和域间IS（interdomainIS）

1/31/2025357.2.2路由算法路由算法使用许多不同的metric以确定最佳路径常用的metric如下：

1路径长度

2可靠性

3延迟

4带宽

5负载

6通信代价1/31/2025367.2.3设计目标路由算法通常具有下列设计目标的一个或多个：

1

优化

2简单、低耗

3健壮、稳定

4快速聚合

5灵活性1/31/2025377.2.4路由协议路由协议（RoutingProtocol）：用于路由器动态寻找网络最佳路径，保证所有路由器拥有相同的路由表，一般路由协议决定数据包在网络上的行走路径。RIP、IGRP、EIGRP、OSPF、IS-IS、EGP、BGP

路由协议通过提供共享路由选择信息的机制来支持可路由协议

路由协议消息在路由器之间传送，路由协议允许路由器与其他路由器通信来修改和维护路由选择表。

1/31/2025387.2.4路由协议1RoutedProtocol（可被路由的协议）IP、DECnet、AppleTalk、NovellNetWare

2路由动作包括:寻址和转发3路由表

在路由器的内部都有一个路由表，这个路由表中包含有该路由器知道的目的网络地址以及通过此路由器到达这些网络的最佳路径，如某个接口或下一跳的地址，正是由于路由表的存在，路由器可以依据它进行转发。1/31/2025397.2.4路由协议4路由选择算法

必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法却不尽相同。路由选择算法将收集到的不同信息填入路由表中，并根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。5路由器就是互联网中的中转站

1/31/2025407.2.4路由协议6Router（路由器）可以路由数据包,必须至少知道以下状况：

1)目标地址（destinationaddress）

2)可以学习到远端网络状态的邻居router3)到达远端网络的所有路径

4)到达远端网络的最佳路径

5)如何保持和验证路由信息1/31/2025417.2.4路由协议7典型的路由选择方式有两种：

静态路由和动态路由

1)动态路由与静态路由发生冲突时，以静态路由为准2)路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。

1/31/2025427.2.5静态路由静态路由是指由网络管理员手工配置

静态路由的路由器之间没有必要进行路由信息的交换

动态路由因为需要路由器之间频繁地交换各自的路由表，而对路由表的分析可以揭示网络的拓扑结构和网络地址等信息，因此存在一定的不安全性，而静态路由不存在这样的问题，故出于安全方面的考虑也可以采用静态路由。大型和复杂的网络环境通常不宜采用静态路由

1/31/2025437.2.5静态路由点对点或电路交换连接ABNetwork1只有一个网络连接没有必要进行路由信息的更改1/31/202544router(config)#iproute[网络编号][子网掩码][转发路由器的IP地址/本地接口]

配置静态路由

iproute

静态路由的一般配置步骤1.为每条链路确定地址（包括子网地址和网络地址）2.为每个路由器,标识非直连的链路地址3.为每个路由器写出未直连的地址的路由语句（写出直连地址的语句是没必要的）

router(config)#iproute172.16.1.0255.255.255.0172.16.2.1

或

router(config)#iproute172.16.1.0255.255.255.0serial0172.16.2.1S0172.16.1.0B172.16.2.2网络AB10.0.0.0静态路由配置实例

删除静态路由用命令noiprouterouter（config）#noiproute[网络编号][子网掩码]1/31/202546172.16.2.1SO172.16.1.0B172.16.2.2网络AB0.0.0.0router(config)#iproute0.0.0.00.0.0.0172.16.2.2

7.2.6缺省（默认）路由Internet上大约99.99%的路由器上都存在一条缺省路由!缺省路由一般使用在stub网络中（称末端或存根网络），stub网络是只有1条出口路径的网络。

所有未明确指明目标网络的数据包都按缺省路由进行转发。1/31/2025477.2.7动态路由动态路由是指路由器能够自动地建立自己的路由表，并且能够根据实际情况的变化适时地进行调整。1/31/2025487.2.7动态路由动态路由机制的运作依赖路由器的两个基本功能：对路由表的维护，路由器之间适时的路由信息交换。路由协议路由协议路由信息表路由信息表路由器1路由器21/31/202549动态路由协议的分类路由协议IGPEGP链路状态协议（OSPF,IS-IS）距离矢量协议（RIPv1,RIPv2,IGRP,EIGRP）EGP（外部网关协议）BGP（边界网关协议）外部网关协议：在自治系统之间交换路由选择信息的互联网络协议，如BGP。内部网关协议：在自治系统内交换路由选择信息的路由协议，常用的因特网内部网关协议有OSPF、RIP。1/31/202550动态路由协议的分类1，距离矢量路由协议2，链路状态路由协议

OSPF：开放式最短路径优先（OpenShortestPathFirst）是一种链路状态路由协议。每一个OSPF路由器都维护一个相同的网络拓扑数据库，从这个数据库中，可以构造一个最短路径树来计算路由表。OSPF的收敛速度比RIP要快，而且在更新路由信息时，产生的流量也较少。为了管理大规模的网络，OSPF采用分层的连接结构，将自治系统分为不同的区域，以减少路由重计算的时间。1/31/2025517.2.8RIPRIP（RoutingInformationProtocols，路由信息协议）

是典型的距离矢量协议，通过计算抵达目的地的最少跳数（hop）来选取最佳路径

路由器每30秒相互发送广播信息

RIP协议的跳数最多计算到15跳

网络上的路由器在一条路径不能用时必须经历决定替代路径的过程，这个过程称为收敛RIP收敛时间长1/31/2025527.2.8RIPRIP协议的原始版本（版本1，即RIPv1）不能应用VLSM，因此不能分割地址空间以最大效率地应用有限的IP地址。RIP协议的后来版本（版本2，即RIPv2）通过引入子网屏蔽与每一路由广播信息一起使用实现了这个功能。

路由协议还应该能防止数据包进入循环，或落入路由选择循环，这是由于多余连接影响网络的问题。RIP协议假定如果从网络的一个终端到另一个终端的路由跳数超过15个，那么一定牵涉到了循环，因此当一个路径达到16跳，将被认为是达不到的。显然，这限制了RIP协议在网络上的使用。

1/31/2025537.2.8RIPRIP协议设计用于使用同种技术的中小型网络，适用于大多数的校园网和使用速率变化不是很大的连续性的地区性网络

RIP的路由信息都封装在UDP的数据报中，RIP在UDP的520端口上

1/31/2025547.2.8RIP路由更新早期的RIP路由协议中路由的更新是通过定时广播实现的。缺省情况下，路由器每隔30秒向与它相连的网络广播自己的路由表，接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播，最终网络上所有的路由器都会得知全部的路由信息。正常情况下，每30秒路由器就可以收到一次路由信息确认，如果经过180秒，即6个更新周期，一个路由项还没有得到确认，路由器就认为它已失效了。如果经过240秒，即8个更新周期，路由项仍没有得到确认，它就被从路由表中删除。上面的30秒，180秒和240秒的延时都是由计时器控制的，它们分别是更新计时器（Update

Timer）、无效计时器（Invalid

Timer）和刷新计时器（Flush

Timer）。1/31/2025551.启用RIP进程

router(config)#routerrip

router(config-router)#

2.配置network命令

router(config-router)#network<主类网络号>

含义:1.公布属于该主类的子网

2.包含在该主类内的接口发送接收路由信息

3.指定RIP版本router(config-router)#VERSION{1|2}

配置RIP1/31/202556配置举例在路由器Router1上的RIP配置如下：1.启用RIP进程router（config）#routerrip2.配置network命令

router（config-router）#network172.16.0.0

1/31/202557验证RIP的配置

router#showipprotocols

显示路由表的信息

router#showiproute

清除IP路由表的信息

router#cleariproute*

在控制台显示RIP的工作状态

router#debugiprip

RIP的调试1/31/202558RIP的缺陷1.过于简单，以跳数为依据计算度量值，经常得出非最优路由；2.度量值以16为限，不适合大的网络；3.性能差，接受来自任何设备的路由更新；4.支持无类IP地址和VLSM（VariableLengthSubnetMask，变长子网掩码）；5.收敛缓慢，时间经常大于5分钟；

6.带宽很大。

1/31/2025597.3访问控制列表访问控制列表（accesscontrollists），也称为访问列表（accesslists），在有的文档中还称之为包过滤，是通过定义一些准则对经过路由器接口上的数据报文进行控制：转发或丢弃。基本访问控制列表包括标准访问控制列表和扩展访问控制列表

高级访问控制列表（动态访问控制列表）

1/31/2025607.3访问控制列表为什么要配置访问列表

限制路由更新限制网络访问

什么时候配置访问列表

访问列表编号列表要指定一个唯一的名称或编号，以便在协议内部能够唯一标识每个访问列表标准编号为：1-99扩展编号为：100-1991/31/2025617.3基本访问控制列表配置准则1基本准则典型准则主要有以下：

源地址目标地址上层协议

标准IP访问列表（1－99）主要是根据源地址来进行转发或阻断分组的，扩展IP访问列表（100－199）使用以上三种组合来进行转发或阻断分组的。

1/31/2025627.3基本访问控制列表配置准则2隐含“拒绝所有数据流”准则语句典型准则在每个访问列表的末尾隐含着一条“拒绝所有数据流”准则语句，因此如果分组与任何准则都不匹配，将被拒绝。3.输入准则语句的顺序

加入的每条准则都被追加到访问列表的最后，语句被创建以后，就无法单独删除它，而只能删除整个访问列表。所以访问列表语句的次序非常重要。路由器在决定转发还是阻断分组时，路由器按语句创建的次序将分组与语句进行比较，找到