1、路由協(xié)議概念自治系統(tǒng)(AS) 自治系統(tǒng)是由一個單位或機構(gòu)進行管理的網(wǎng)絡(luò)系統(tǒng),也稱自治網(wǎng)絡(luò)系統(tǒng)。 園區(qū)網(wǎng)就是一個典型的自治網(wǎng)絡(luò)系統(tǒng)。 路由協(xié)議的類型：AS域內(nèi)路由協(xié)議、AS域間路由協(xié)議。自治系統(tǒng)內(nèi)部路由協(xié)議（IGP）1）RIPRIP是一種基于距離矢量的動態(tài)路由協(xié)議，適用于最多16個路由器(最多15跳)的自治網(wǎng)絡(luò)系統(tǒng)。運行RIP的路由器維護了一張路由表，列出了自治系統(tǒng)內(nèi)每一個目的網(wǎng)絡(luò)的距離和轉(zhuǎn)發(fā)端口（下一跳路由器）。路由器周期性地（每隔30秒）向自治系統(tǒng)內(nèi)的所有其他路由器通過廣播分組傳輸路由表。相鄰路由器根據(jù)接收到的廣播包更新路由表。 RIP的優(yōu)點 （1）協(xié)議簡單； （2）易于配置維護。RIP的缺

2、點 （1）網(wǎng)絡(luò)規(guī)模受限。有“距離（跳數(shù)）”的限制（15跳）。 （2）交換的路由信息是完整的路由表，影響網(wǎng)絡(luò)效率； （3）“壞消息傳播得慢”。當網(wǎng)絡(luò)出現(xiàn)故障，故障信息需較長時間才能被所有路由器獲知（更新）.RIPv2的改進（1）支持無分類IP地址、可變長子網(wǎng)掩碼(VLSM)（2）支持簡單的鑒別，阻擋非法路由信息更新；（3）支持組播方式。主要缺點與RIP一樣。2）OSPF（開放最短路徑優(yōu)先 ） OSPF是一種基于鏈路狀態(tài)的動態(tài)路由協(xié)議。 所謂“鏈路狀態(tài)”是指本路由器與哪些路由器相鄰，以及該鏈路的度量。 “度量”用來表示費用、距離、時延、帶寬等等。 OSPF的優(yōu)點： （1）每當一個路由器的鏈路狀態(tài)發(fā)

3、生變化時，該路由器向自治系統(tǒng)的所有路由器僅發(fā)送鏈路狀態(tài)的變化信息（非定期發(fā)送）； （2）每個路由器都有自己的鏈路狀態(tài)數(shù)據(jù)庫，其中保存著一致的全網(wǎng)拓撲結(jié)構(gòu)信息和所有鏈路的狀態(tài)信息； （3）路由信息（鏈路狀態(tài)）更新收斂快，收斂時間小于100ms,適合鏈路狀態(tài)頻繁變化的網(wǎng)絡(luò)； （4）支持分層結(jié)構(gòu)，適用于大規(guī)模網(wǎng)絡(luò)（路由器數(shù)量成百上千）。OSPF的缺點：復(fù)雜，不易掌握和使用。 RIPngRIPng(ng：下一代)，適用于IPv6。IS-IS（中間系統(tǒng)-中間系統(tǒng)） 一種基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)的路由協(xié)議。*類似OSPFIS-IS比OSPF更加安全。IS-IS可擴展性更強。 根據(jù)業(yè)界的統(tǒng)計，在園區(qū)網(wǎng)中，O

4、SPF使用的頻率要高于IS-IS。但這并非完全是技術(shù)上的原因，而是與歷史和廠商的市場策略有關(guān)。EIGRP（Cisco）Cisco的EIGRP協(xié)議是一種用來代替原Cisco IGRP協(xié)議的距離矢量路由選擇協(xié)議，但同時具有一些可伸縮性的鏈接狀態(tài)特點，在某些方面介于距離矢量路由選擇協(xié)議和鏈路狀態(tài)路由選擇協(xié)議之間。能非?？斓剡m應(yīng)網(wǎng)絡(luò)上的變化增加的更新僅包括變化，而非全部路由表 可靠地分發(fā)更新支持1000臺路由器自治系統(tǒng)之間的路由協(xié)議（EGP）BGP（邊界網(wǎng)關(guān)協(xié)議） 一種基于距離向量的自治系統(tǒng)域間路由協(xié)議。 也可用于自治系統(tǒng)內(nèi)部（IBGP）。用于自治系統(tǒng)之間的可稱為EBGP。 BGP已取代早期的EGP。

5、表3.2 常用路由選擇協(xié)議的比較教材P68 表3-2虛擬專用網(wǎng)絡(luò)（VPN）技術(shù) VPN指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。 VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認證技術(shù)。VPN隧道技術(shù) 隧道技術(shù)涉及公網(wǎng)上的點到點邏輯通道、協(xié)議封裝、負荷加密等技術(shù) 。加解密技術(shù) 加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN直接利用現(xiàn)有技術(shù)實現(xiàn)加解密。 密匙管理技術(shù) 密匙管理技術(shù)的主要任務(wù)是如何在公

6、用數(shù)據(jù)網(wǎng)上安全地傳遞密匙而不被竊取。 使用者與設(shè)備身份認證技術(shù) 使用者與設(shè)備認證技術(shù)最常用的是使用者名稱與密碼或卡片式認證等方式。VPN的分類按VPN隧道協(xié)議工作的層次劃分第1層VPN（L1 VPN）第2層VPN（L2 VPN）第3層VPN（L3 VPN）高層 (網(wǎng)絡(luò)層以上) VPN按VPN的應(yīng)用分類Remote Access VPN（遠程接入VPN）：由外地客戶端(例如筆記本上的VPN軟件)和公司網(wǎng)關(guān)組成，在出差員工和公司之間利用公網(wǎng)傳輸加密數(shù)據(jù)； Intranet VPN（內(nèi)聯(lián)網(wǎng)VPN）：由異地分支機構(gòu)網(wǎng)關(guān)和公司網(wǎng)關(guān)組成，在分支機構(gòu)和公司總部之間利用公網(wǎng)傳輸加密數(shù)據(jù)； Extranet V

7、PN（外聯(lián)網(wǎng)VPN）：由公司的網(wǎng)關(guān)和合作伙伴企業(yè)的網(wǎng)關(guān)構(gòu)成，在一個公司與另一個公司之間利用公網(wǎng)進行加密傳輸?；诓煌a(chǎn)品平臺的VPN路由器VPN：路由器VPN是在路由器上運行VPN程序； 交換機VPN：交換機VPN是在交換機上運行VPN程序，主要應(yīng)用于連接用戶較少的VPN網(wǎng)絡(luò)； 防火墻VPN：防火墻VPN是在防火墻上運行VPN程序，是最常見的VPN實現(xiàn)方式。按穿越的公網(wǎng)種類進行分類幀中繼（F.R.）VPNATM VPNIP VPNMPLS VPNVPN 隧道協(xié)議在公網(wǎng)上建立虛擬信道是利用隧道技術(shù)實現(xiàn)的，隧道可建立在物理層、鏈路層、網(wǎng)絡(luò)層或高層。第一層隧道 OVPN(Optical VPN，光虛

8、擬專用網(wǎng))是目前最被看好的L1 VPN。 OVPN 使運營商能將其光網(wǎng)絡(luò)分成多個虛擬網(wǎng)絡(luò)分別提供給多個用戶，可提供區(qū)別于傳統(tǒng)帶寬型的業(yè)務(wù)。第二層隧道基于PPP（點到點協(xié)議）協(xié)議，有PPTP，L2P，L2TP，其特點是協(xié)議簡單，易于加密，適合遠程撥號用戶。先將用戶IP包封裝在PPP數(shù)據(jù)包中，再封裝在某種廣域網(wǎng)的網(wǎng)絡(luò)層PDU中。第三層隧道是IP in IP，如IPSec，其可靠性及擴展性優(yōu)于第二層隧道，但沒有前者簡單直接，只適合在IP網(wǎng)上建隧道。將用戶IP包封裝在加了密的IP包中。高層隧道 高層隧道協(xié)議工作于網(wǎng)絡(luò)層以上各層，目前主要有SSL VPN(參見教材P71)、MPLS VPN（參見教材P7

9、2）。 IP組播技術(shù)概述IP組播技術(shù)實現(xiàn)了IP網(wǎng)絡(luò)中點到多點的高效數(shù)據(jù)傳送。相對于數(shù)據(jù)單播傳送，組播有效節(jié)省網(wǎng)絡(luò)帶寬，降低對網(wǎng)絡(luò)設(shè)備的要求，用戶規(guī)?？梢造`活變化，用戶規(guī)模的增大不會對網(wǎng)絡(luò)和服務(wù)器造成帶寬和性能壓力。在實時數(shù)據(jù)傳送、多媒體會議、數(shù)據(jù)拷貝、游戲和仿真等諸多方面都有廣泛應(yīng)用。組播在園區(qū)網(wǎng)一般用于特殊場景，例如：網(wǎng)上教學、IP組播視頻會議等業(yè)務(wù)。地址組播組用D類IP地址（55）來標識。按照使用范圍劃分，組播地址可以分為三部分：（1）協(xié)議保留組播地址 地址范圍：55。 此地址范圍被IANA預(yù)留，一般供網(wǎng)絡(luò)協(xié)議使用。 該范圍內(nèi)的地址屬于局部范疇，此地址的組播報文不能被轉(zhuǎn)發(fā)。（2）用戶組播地

10、址 地址范圍：55 此地址范圍也稱為公用組播地址，在全網(wǎng)范圍內(nèi)有效，可以用于Internet上。（3）本地管理組地址 地址范圍：55，此地址范圍也稱為私有組播地址，主要用于測試或供內(nèi)部網(wǎng)絡(luò)的內(nèi)部使用，這個地址的組播不能上公網(wǎng)，類似于單播協(xié)議使用的私網(wǎng)地址。園區(qū)內(nèi)部部署的組播業(yè)務(wù)只是供本園區(qū)內(nèi)部使用，宜采用本地管理組地址作為組播地址。組播協(xié)議（1）協(xié)議分類 根據(jù)協(xié)議的作用范圍，組播協(xié)議可分為： 組播成員關(guān)系管理協(xié)議 （主機-路由器之間的協(xié)議） 組播路由協(xié)議 （路由器-路由器之間協(xié)議） 組播成員關(guān)系管理協(xié)議 IGMP（互連網(wǎng)組管理協(xié)議），目前有V1、V2、V3三個版本。組播路由協(xié)議 組播路由協(xié)議又

11、分為兩類：域內(nèi)組播路由協(xié)議和域間組播路由協(xié)議。域內(nèi)組播路由協(xié)議 包括：PIM-SM、PIM-DM、DVMRP等協(xié)議；域間組播路由協(xié)議 包括MBGP、MSDP等協(xié)議。 IGMP Snooping協(xié)議IGMP Snooping運行于二層交換機，是一種二層組播協(xié)議。在網(wǎng)絡(luò)層（第三層），路由器可以對組播報文的轉(zhuǎn)發(fā)進行控制。但在很多情況下，組播報文要不可避免地經(jīng)過一些二層交換設(shè)備，如果不對二層設(shè)備進行相應(yīng)的配置，則組播報文就會轉(zhuǎn)發(fā)給二層交換設(shè)備的所有接口，這顯然會浪費大量的系統(tǒng)資源，IGMP Snooping可以很好解決這個問題。域內(nèi)組播路由協(xié)議PIM協(xié)議PIM不依賴于某一特定單播路由協(xié)議 為IP組播提

12、供路由信息的可以是靜態(tài)路由、RIP、OSPF、IS-IS、BGP等任何一種單播路由協(xié)議。組播路由和單播路由協(xié)議無關(guān)，只要通過單播路由協(xié)議能夠產(chǎn)生相應(yīng)組播路由表項即可。與其它域內(nèi)組播協(xié)議相比，PIM開銷更小，組播效率更高。組播VLAN組播VLAN可以滿足跨VLAN復(fù)制的需求 當不同VLAN的用戶分別進行同一組播源點播時，組播VLAN可實現(xiàn)組播數(shù)據(jù)在不同的VLAN內(nèi)傳送，便于對組播源和組播組成員的管理和控制，同時也可以減少帶寬浪費。4.5.2 第三層網(wǎng)絡(luò)設(shè)備路由器L3交換機路由器 路由器是工作在網(wǎng)絡(luò)層的網(wǎng)絡(luò)互連設(shè)備，基于路由表按IP地址進行分組轉(zhuǎn)發(fā)。路由器的優(yōu)點 既能隔離沖突域,也能隔離廣播域;

13、適用于大中規(guī)模網(wǎng)絡(luò)； 支持復(fù)雜的網(wǎng)絡(luò)拓撲結(jié)構(gòu)； 支持負載共享和路徑尋優(yōu)； 支持組播；能更好地處理多媒體； 安全性高。路由器的缺點價格高;轉(zhuǎn)發(fā)速度較慢; 安裝復(fù)雜; 同類端口數(shù)少。路由器的分類按吞吐量可分為：高檔路由器(40Gb/s)、中檔路由器(25G40Gb/s)和低檔路由器(25Gb/s)；按運營商角度可分為：核心路由器、邊緣路由器和接入路由器按附加功能可分為：IP電話路由器，防火墻路由器，無線路由器，VPN路由器等。按結(jié)構(gòu)可分為：模塊化路由器（可擴展插卡）和非模塊化路由器（固定端口）。按支持的路由選擇選擇數(shù)量可分為：單協(xié)議路由器和多協(xié)議路由器。路由器的適用場合局域網(wǎng)(園區(qū)網(wǎng))與城域網(wǎng)/廣

14、域網(wǎng)的互聯(lián)； 需要隔離廣播域時；網(wǎng)絡(luò)層異構(gòu)的廣域網(wǎng)之間的互聯(lián)；VLAN之間的互聯(lián)； 構(gòu)成防火墻。L3交換機L3交換機是工作在網(wǎng)絡(luò)層的網(wǎng)絡(luò)互聯(lián)設(shè)備。通過“一次路由、多次交換”的方式實現(xiàn)比路由器更高的轉(zhuǎn)發(fā)速度。L3交換機的優(yōu)點數(shù)據(jù)包轉(zhuǎn)發(fā)速度快；成本低；組網(wǎng)靈活（每個端口可配置為交換口或路由口）。端口密度高。L3交換機的缺點網(wǎng)絡(luò)環(huán)路防護(通過生成樹協(xié)議)，影響網(wǎng)絡(luò)可擴展性和管理維護的簡易性;支持的路由選擇選擇較單一（一般是IP）； 在L3交換機之間互連鏈路中同時支持IGP路由、VLAN Trunk及MPLS交換的能力不夠。L3交換機的適用場合局域網(wǎng)/園區(qū)網(wǎng)的核心層；局域網(wǎng)/園區(qū)網(wǎng)與城域網(wǎng)/廣域網(wǎng)互聯(lián)

15、；路由器不能滿足轉(zhuǎn)發(fā)速率或成本較高時。4.5.3 第三層設(shè)計要點第三層設(shè)計一般采用匯聚交換機作為路由和交換的分界點。這種設(shè)計方法有如下優(yōu)點：(1)路由配置簡單 只需要在2臺匯聚/核心交換機上配置路由。大量的接入交換機只做二層交換，配置簡單。便于采用接入交換機的“自動配置”功能，減少配置維護工作量。(2)擴展性好 在同一個匯聚/核心交換機下的服務(wù)器擴容方便，并且隨著業(yè)務(wù)的變化不需要更改網(wǎng)絡(luò)的配置，即插即用。自治系統(tǒng)域內(nèi)路由選擇協(xié)議設(shè)計要點 園區(qū)網(wǎng)是基于TCP/IP的自治系統(tǒng)，因此所選IGP協(xié)議應(yīng)是基于IP協(xié)議的。若園區(qū)網(wǎng)內(nèi)的路由器數(shù)量較少（不大于15跳），且非層次化架構(gòu)并不在意網(wǎng)絡(luò)故障時的較長收

16、斂時間，宜選RIP協(xié)議。若是層次化的大中型園區(qū)網(wǎng)，或在意網(wǎng)絡(luò)的快速收斂，應(yīng)采用鏈路狀態(tài)路由選擇協(xié)議。若無部署IPv6的需求,可任選OSPF或IS-IS。若現(xiàn)用IPv4以后要升級到IPv6，則IS-IS更容易。若大中型園區(qū)網(wǎng)用得是Cisco的網(wǎng)絡(luò)設(shè)備，宜考慮選用EIGRP。 若選用OSPF協(xié)議,參見教材。BGP設(shè)計 園區(qū)網(wǎng)中使用BGP的場景場景1 路由數(shù)量過于龐大，OSPF難以勝任時。一般單獨一個園區(qū)內(nèi)部路由數(shù)目可能不會很多，但是當一個企業(yè)分支眾多且IP規(guī)劃不十分合理，導(dǎo)致路由條目過多，特別是園區(qū)的出口路由器上可建議部署B(yǎng)GP進行合理規(guī)劃引入部分路由。場景2 由于業(yè)務(wù)需要，需要大量的使用路由策略

17、或者是業(yè)務(wù)分流，使用OSPF等協(xié)議不擅長，使用BGP可以方便的控制路由策略，來分配業(yè)務(wù)流向。場景3 部署MPLS VPN技術(shù)時，用于復(fù)雜的隔離策略等。BGP設(shè)計要點如下：（1）IBGP和EBGP的選擇 由于園區(qū)網(wǎng)的規(guī)模通常都不會很大，IBGP(內(nèi)部BGP協(xié)議)就可以滿足一般需求。（2）在使用MPLS L3VPN時，宜使用MP-IBGP協(xié)議。MP-IBGP是對傳統(tǒng)BGP的擴展，增加了對VPNv4和IPv6地址的支持。在L3VPN中，主要用于私網(wǎng)路由的發(fā)布。應(yīng)在PE上部署MP-IBGP，并配置對端PE為對等體。（3）BGP對設(shè)備的要求 BGP協(xié)議本身并不消耗很多資源，只有當運行BGP的設(shè)備需要學習

18、很多條路由，需要建立很多鄰居關(guān)系時才會要求設(shè)備自身的高性能。 只要規(guī)劃得當，任何檔次的設(shè)備（包括接入層設(shè)備）都可以運行BGP協(xié)議。VPN設(shè)計要點（1）宜以IPSec VPN 作為一般遠程接入方案和點對點連接方案，輔以SSL VPN 作為訪問Web 服務(wù)的遠程接入方案。（2）SSL VPN 的適用場景 企業(yè)需要通過Web 遠程接入互聯(lián)網(wǎng)； 客戶端與目標服務(wù)器之間有防火墻，允許HTTPS 數(shù)據(jù)包通過，但不允許IKE 或IPSec數(shù)據(jù)包通過； 需要精細訪問控制能力的場合。（3）MPLS VPN的適用場景 MPLS VPN適用于運營商城域網(wǎng)、大型園區(qū)網(wǎng)、有異地分支機構(gòu)的Intranet或Extranet。（4）L1 VPN（OVPN）適用于對網(wǎng)絡(luò)傳送資源需求量較大并對QoS 和安全有嚴格要求的用戶。（5