1、一章一、OSPF (OPEN SHORTEST PATH FIRST)協(xié)議，開放式最短路徑優(yōu)先協(xié)議，由IETF開發(fā)的基于鏈路狀態(tài)的 自治系統(tǒng)內(nèi)部路由協(xié)議，當(dāng)前使用的是第二版，RFC2328，特點(diǎn)如下：1、可以適應(yīng)大規(guī)模網(wǎng)絡(luò)，上百臺(tái)路由器；2、路由變化收斂速度快，如果拓?fù)浣Y(jié)構(gòu)變化，立刻發(fā)送更新報(bào)文；3、無路由自環(huán)，使用了最短路徑樹算法計(jì)算路由，從算法本身保證了不會(huì)自環(huán)；4、支持VLSM(變長子網(wǎng)掩碼)，描述路由時(shí)攜帶網(wǎng)段的掩碼信息；5、支持等值路由，到同一目的地址多條等值路由6、支持區(qū)域劃分，減少占用網(wǎng)絡(luò)的帶寬；7、提供路由分級(jí)管理，使用4類不同路由，按照優(yōu)先級(jí)別：區(qū)域內(nèi)路由、區(qū)域間路由(兩種優(yōu)

2、先級(jí)都為10)、 第一類外部路由、第二類外部路由(優(yōu)先級(jí)為150)；8、支持驗(yàn)證，基于接口的報(bào)文驗(yàn)證；9、組播發(fā)送，在有組播發(fā)送能力的鏈路層上以組播地址發(fā)送協(xié)議報(bào)文。二、ROUTER ID，一個(gè)32BIT的無符號(hào)整數(shù)，在整個(gè)自治系統(tǒng)內(nèi)唯一，協(xié)議號(hào)89,配置命令：ROUTER ID , 察看命令:SHOW IP OSPF，如果沒有手工配置，系統(tǒng)優(yōu)先選擇LOOPBACK端口 IP地址為ID，如果沒有配置LOOPBACK 端口，會(huì)從當(dāng)前接口 IP地址中自動(dòng)選擇一個(gè)IP地址作為ID。三、OSPF將不同的網(wǎng)絡(luò)拓?fù)涑橄鬄樗姆N類型：1、STUB NETWORKS，接口連接網(wǎng)段中只有本路由器自己，比如局域網(wǎng)；

3、2、POINT TO POINT，通過點(diǎn)到點(diǎn)網(wǎng)絡(luò)與一臺(tái)路由器相連，比如DDN;3、BROADCAST OR NBMA NETWORKS，通過廣播或NBMA網(wǎng)絡(luò)與多臺(tái)路由器相連4、POINT TO MULTIPOINT，通過點(diǎn)到多點(diǎn)與多臺(tái)路由器連接。注意：NBMA要求全連通。四、OSPF協(xié)議計(jì)算出路由的三個(gè)步驟：1、描述本路由器周邊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，生成LSA；2、將自己生成的LSA在自治系統(tǒng)中傳播，并同時(shí)收集其他路由器生成的LSA，生成所有路由器中都相同的 LSDB(連路狀態(tài)數(shù)據(jù)庫)；3、根據(jù)收集的所有LSA計(jì)算路由五、OSPF的五種協(xié)議報(bào)文：1、HELLO報(bào)文，發(fā)現(xiàn)維持鄰居關(guān)系，選舉DR、BD

4、R，內(nèi)容包括定時(shí)器數(shù)值、DR、BDR、以及自己已經(jīng)知道的 鄰居；2、DD報(bào)文(DATA DESCRIPTION)，描述自己的LSDB，包括每條LSA的摘要HEAD；3、LSR報(bào)文(LINK STATE REQUEST)，交換了 DD報(bào)文后，發(fā)送所需要的LSA摘要；4、LSU報(bào)文(LINK STATE UPDATE PACKET)發(fā)送所需要的LSA內(nèi)容的集合；5、LSACK報(bào)文(LINK STATE ACKNOWLEDGMENT PACKET)內(nèi)容是需要確認(rèn)的 LSA 的 HEAD。六、OSPF的鄰居狀態(tài)機(jī)1、DOWN，在過去的DeadInterval時(shí)間內(nèi)沒有收到對(duì)方的hello報(bào)文，初始狀態(tài)

5、；2、Attempt，只適用于NBMA類型的接口，本狀態(tài)定期向那些手工配置的鄰居發(fā)送HELLO報(bào)文，使用 組播地址；3、Init，本狀態(tài)表示已經(jīng)收到了鄰居的HELLO報(bào)文，但是該報(bào)文中列的鄰居中沒有包含我的ROUTER ID，也就 是說對(duì)方?jīng)]有收到我發(fā)的HELLO報(bào)文；4、2-WAY狀態(tài)，雙方互相收到了對(duì)端的HELLO報(bào)文，建立鄰居關(guān)系，在廣播和NBMA類型網(wǎng)絡(luò)中，兩個(gè)接口 狀態(tài)是DROTHER的路由器之間停留在這個(gè)狀態(tài)；5、EXStart，發(fā)送DD報(bào)文確定主從關(guān)系；6、Exchange，將本地的LSDB用DD報(bào)文描述，發(fā)給鄰居；7、LOADING，發(fā)送LSR報(bào)文請求對(duì)方的DD報(bào)文；8、FUL

6、L，鄰居路由器的LSDB中所有的LSA本路由器都有了，本路由器與鄰居路由器建立鄰接關(guān)系(adjacency)。七、DR (Designated Router)和 BDR(Backup Designated Router)， OSPF 協(xié)議指定一臺(tái)路由器 DR 負(fù)責(zé)傳遞消息， 產(chǎn)生過程為：1、登記選民；2、登記候選人，本網(wǎng)段內(nèi)Priority0的，默認(rèn)為1；3、競選演說；4、投票，選擇的是Priority最大的為DR，如果Priority相同，選擇ROUTER ID大的當(dāng)選。八、穩(wěn)定壓倒一切，如果網(wǎng)絡(luò)中已經(jīng)存在DR，新加入的路由器不去搶DR。九、OSPF選舉DR需要注意：1、DR不一定是Prio

7、rity最大的路由器，BDR不一定是第二大的路由器；2、DR是某個(gè)網(wǎng)段中的概念，是針對(duì)路由器接口而言的，某臺(tái)路由器在一個(gè)接口上可能是DR，在另外一個(gè)接口 上可能是BDR；3、只有在廣播和NBMA類型的接口上才會(huì)選舉DR，在POINT TO POINT以及POINT TO muiltipoint類型接口 上不需要選舉；4、兩臺(tái)Drother路由器之間不進(jìn)行路由信息交換，但是發(fā)送hello報(bào)文，處于2-WAY狀態(tài)。十、NBMA與點(diǎn)到多點(diǎn)之間的區(qū)別：1、OSPF中NBMA是全連通的非廣播多點(diǎn)可達(dá)網(wǎng)絡(luò)，點(diǎn)到多點(diǎn)不需要全連通；2、NBMA中選舉DR與BDR，但是點(diǎn)到多點(diǎn)不選舉；3、NBMA是缺省網(wǎng)絡(luò)類型

8、，點(diǎn)到多點(diǎn)需要手工配置；4、NBMA用單播發(fā)送協(xié)議報(bào)文，需要手工配置鄰居，點(diǎn)到多點(diǎn)是可選的，即可以單播發(fā)送也可以多播發(fā)送 報(bào)文。十一、OSPF劃分區(qū)域的原因，(OSPF在大型網(wǎng)絡(luò)中遇到的問題)：1、網(wǎng)絡(luò)過大，導(dǎo)致LSDB龐大，占用大量存儲(chǔ)空間；2、LSDB過大，增加了 SPF算法復(fù)雜度，導(dǎo)致CPU負(fù)載過重；3、路由器之間LSDB同步需要時(shí)間過長；4、拓?fù)浣Y(jié)構(gòu)改變后所有路由器必須重新計(jì)算路由具體解決問題辦法：減少LSA數(shù)量，屏蔽網(wǎng)絡(luò)變化波及的范圍。十二、劃分區(qū)域?yàn)镺SPF協(xié)議處理帶來的變化：1、每一個(gè)網(wǎng)段必須屬于一個(gè)區(qū)域，或者說每個(gè)運(yùn)行OSPF協(xié)議接口必須制定區(qū)域;2、不同區(qū)域之間通過ABR來傳

9、遞路由信息。十三、將自治系統(tǒng)劃分了不同的區(qū)域后，路由計(jì)算方法的改變:1、同一個(gè)區(qū)域內(nèi)路由器之間保持LSDB同步，拓?fù)浣Y(jié)構(gòu)變化在區(qū)域內(nèi)更新；2、區(qū)域間路由計(jì)算通過ABR來完成，ABR先完成一個(gè)區(qū)域內(nèi)路由計(jì)算，然后查詢路由表，為每一條OSPF 路由生成一條TYPE3類型的LSA，內(nèi)容包括該條路由的目的地址、掩碼、花費(fèi)等信息，然后發(fā)送到另外區(qū)域中；3、另外區(qū)域路由器根據(jù)每一條TYPE3的LSA生成一條路由，這些路由下一跳都是該ABR。十四、劃分區(qū)域后，ABR發(fā)送的區(qū)域間路由是基于D-V算法的；區(qū)域內(nèi)路由是基于鏈路狀態(tài)信息的，如果建立了虛連接， 兩個(gè)ABR之間直接傳遞TYPE3的LSA，中間的路由器只

10、負(fù)責(zé)轉(zhuǎn)發(fā)報(bào)文。十五、ASBR(Autonomous System Boundary Router)自治系統(tǒng)邊界路由器，物理位置不一定真的位于As的邊界，而是 可以位于自治系統(tǒng)內(nèi)任意位置。十六、ASBR為每一條引入的路由生成一條TYPE5類型的LSA，主要內(nèi)容為該條路由的目的地址、掩碼和花費(fèi)等信息，這 些路由信息將在整個(gè)自治系統(tǒng)內(nèi)傳播(STUB AREA除外)，如果ASBR區(qū)域內(nèi)有ABR存在，那么ABR必須專門為ASBR生 成一條TYPE4類型的LSA，內(nèi)容包括ASBR的ID和到它的花費(fèi)值。十七、自治系統(tǒng)外部路由分為TYPE1和TYPE2兩種，其中TYPE1主要代表RIP或者STATIC等IGP

11、路由，路由花費(fèi)=本路 由器到ASBR花費(fèi)+ASBR到該路由目的地址花費(fèi)，TYPE2代表BGP路由，由于這個(gè)花費(fèi)遠(yuǎn)遠(yuǎn)大于自治系統(tǒng)內(nèi)花費(fèi)，所以該 路由花費(fèi)=ASBR到該目的路由得花費(fèi)值，如果該值相等再考慮本路由器到ASBR花費(fèi)。一、OSPF協(xié)議將整個(gè)自治系統(tǒng)劃分為不同的區(qū)域，出于以下兩個(gè)目的：1、減少路由信息在自治系統(tǒng)之中的傳遞；2、可以針對(duì)不同區(qū)域的拓?fù)涮攸c(diǎn)采用不同的策略。二、STUB區(qū)域：(那些不傳播TYPE5類型，也就是不引入的外部路由的LSA的區(qū)域)，處于自治系統(tǒng)的邊 界，是那些只有一個(gè)ABR的非骨干區(qū)域，或者該區(qū)域有多個(gè)ABR，但是它們之間沒有配置虛連接。三、配置STUB區(qū)域的注意事項(xiàng)：

12、1、骨干區(qū)域不能配置成STUB區(qū)域，虛連接不能穿過STUB區(qū)域；2、如果想將一個(gè)區(qū)域配置成STUB區(qū)域，則該區(qū)域中的所有路由器都必須配置成該屬性；3、STUB區(qū)域內(nèi)不能存在ASBR，即自治系統(tǒng)外部路由不能引入到區(qū)域內(nèi)，區(qū)域的自治系統(tǒng)外部路由也不能 在本區(qū)域內(nèi)傳播和傳遞到區(qū)域外。四、NSSA(not so stubby area)區(qū)域，在 RFC1587 種描述。1、自治系統(tǒng)外的路由不能進(jìn)入NSSA區(qū)域，但是區(qū)域內(nèi)的路由器引入的ASE路由可以在NSSA中傳播并發(fā) 送到區(qū)域外；2、為了解決單項(xiàng)傳遞，重新定義了一種LSATYPE7的LSA，與TYPE5的區(qū)別在于類型標(biāo)識(shí)，在NSSA的 ABR上將NS

13、SA內(nèi)部產(chǎn)生的TYPE7類型的LSA轉(zhuǎn)化為TYPE5類型再發(fā)出去，并同時(shí)更改LSA的發(fā)布者為SBR自己。NSSA 區(qū)域內(nèi)所有路由器必須支持該屬性，區(qū)域外的不需要支持。五、路由聚合：只有在ABR上配置才有效。六、LSA分類：1、Router LSA(TYPE=1)，每個(gè)路由器都能產(chǎn)生；2、Network LSA(TYPE=2)，由DR生成，傳遞到整個(gè)區(qū)域，描述本網(wǎng)段中所有已經(jīng)同其建立了鄰接關(guān)系的 路由器；3、Network Summary LSA(TYPE=3)，由ABR生成，描述了到區(qū)域內(nèi)某一網(wǎng)段的路由，傳遞到相關(guān)區(qū)域；4、ASBR Summary LSA(TYPE=4)，由ABR生成，描述到

14、達(dá)本區(qū)域內(nèi)部的ASBR的路由。是主機(jī)路由，掩碼5、AS External LSA(TYPE=5)，由ASBR生成，主要描述了到自治系統(tǒng)外部路由的信息。七、OSPF協(xié)議根據(jù)鏈路層媒體不同分為以下四種網(wǎng)絡(luò)類型：1、Broadcast，以 ， 發(fā)送協(xié)議報(bào)文，需要選舉 DR，BDR；2、NBMA，當(dāng)FR或者X25時(shí)，缺省為NBMA，以單播地址發(fā)送協(xié)議報(bào)文，需要手工配置鄰居IP地址，需要 選舉 DR，BDR；3、Point-to-Multipoint，手工修改NBMA配置而來，以發(fā)送協(xié)議報(bào)文，不需要選舉DR，BDR；4、Point-to-Point，當(dāng)鏈路層協(xié)議為ppp，hdlc，LAPB時(shí)，發(fā)送協(xié)議報(bào)

15、文，不需要選舉DR， BDR。八、路由器根據(jù)在自治系統(tǒng)中不同位置，劃分為以下四種類型：1、IAR(Internal Area Router)，區(qū)域內(nèi)路由器；2、ABR(Area Border Router)，區(qū)域邊界路由器；3、BBR(BackBone router)，骨干路由器，0區(qū)域所有路由器，包括0區(qū)域的ABR；4、ASBR(AS boundary Router)，自治系統(tǒng)邊界路由器。九、一個(gè)運(yùn)行OSPF協(xié)議的接口狀態(tài)根據(jù)接口不同類型劃分以下四種：1、DR2、BDR3、DROTHER4、Point-to-Point注意：DR、BDR、DROTHER 是在 Broadcast 或者 NBM

16、A 狀態(tài)時(shí)需要選舉，在 Point-to-Point 或者 Point-to-Multipoint 時(shí) 不需要選舉，所以就是第四種類型。十、D-V算法“距離-向量”算法的缺陷：1、每臺(tái)路由器只能保證自己本地路由正確性，不能保證其他路由器路由正確與否；2、每一條路由信息中沒有標(biāo)明生成者信息。十一、OSPF協(xié)議生成的自治系統(tǒng)內(nèi)部路由無自環(huán)，引入的自治系統(tǒng)外部路由則無法保證是否有自環(huán)。十二、什么時(shí)候需要OSPF：1、按照網(wǎng)絡(luò)規(guī)模來說；5臺(tái)以下用靜態(tài)，10臺(tái)左右用RIP，更多的話可以用OSPF；2、按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來說：網(wǎng)狀并且任意路由器都有互通要求；3、按照其他特殊要求：網(wǎng)絡(luò)變化時(shí)快速收斂；4、按照

17、對(duì)路由器自身要求：低端路由器不推薦使用OSPF。十三、配置OSPF協(xié)議中劃分區(qū)域的基本原則：1、按照自然的地區(qū)或者行政單位劃分；2、按照網(wǎng)絡(luò)中的高端路由器來劃分；3、按照IP地址規(guī)律來劃分。十四、劃分區(qū)域的限制：1、區(qū)域規(guī)模的問題：每個(gè)區(qū)域不要超過70臺(tái)路由器，如果整體少于20臺(tái)也可以只劃分一個(gè)區(qū)域。2、與骨干區(qū)域的連通問題：所有區(qū)域必須和骨干區(qū)域連通，骨干區(qū)域自身也必須連通，特殊情況用虛連接搞定。3、ABR的處理能力，一臺(tái)ABR上不要配置太多區(qū)域，一般是一個(gè)骨干區(qū)域+一個(gè)或者兩個(gè)非骨干區(qū)域。十五、區(qū)域間路由聚合：在 Quidway(config-router-ospf)# range x.x

18、.x.x mask x.x.x.x area xxx注意：必須在ABR上配置才有效。十六、STUB區(qū)域配置方法：整個(gè)區(qū)域內(nèi)所有路由器都要配置：Quidway(config-router-ospf)# stub cost xx area xx注意：STUB區(qū)域內(nèi)不能存在ASBRo十七、NSSA配置方法：如果是區(qū)域內(nèi)路由器：Quidway(config-router-ospf)# area xxx nssa如果是 ABR, Quidway(config-router-ospf)# area xxx nssa 缺省路由 no-summary no-redistribution十八、虛連接配置方法：兩

19、臺(tái)路由器之間都要配置：Quidway(config-router-ospf)# virtual-link neighbor-id 對(duì)端的 ROUTER ID transit-area xxx可以配置一些參數(shù)：比如：1、hello-interval,發(fā)送間隔2、dead-interval,鄰接點(diǎn)死亡時(shí)間3、retransmit重傳間隔4、transit-dealy 傳輸延遲十九、在 NBMA 中更改為 Point-to-MultipointQuidway(config-if-serial0)# ip ospf enable area 0Quidway(config-if-serial0)# ip

20、 ospf network point-to-multipoint二十、顯示OSPF運(yùn)行狀態(tài)：1、show ip ospf顯示全局信息，router id,劃分區(qū)域，ABR以及ASBR2、show ip ospf interface顯示端口信息，花費(fèi)、狀態(tài)、類型、優(yōu)先級(jí)、定時(shí)器值3、show ip ospf neighbor顯示鄰居，看狀態(tài)4、show ip ospf error：OSPF: not on same network兩個(gè)接口不在同一網(wǎng)段；OSPF: bad virtual link錯(cuò)誤虛連接報(bào)文，比如一端沒配，指定鄰居錯(cuò)誤，transit-area不同OSPF: extern o

21、ption mismatch 一臺(tái)配置了 stub，另外一臺(tái)沒配OSPF: router id confusion 兩臺(tái) router id 相同二十一、顯示ospf調(diào)試信息：1、debug ipospf event2、debug ipospf lsa3、debug ipospf packet4、debug ipospf spf二十二、排除故障的步驟1、配置故障排除；檢查兩端是否啟動(dòng)并配置了 ospf2、局部故障排除；檢查協(xié)議運(yùn)行是否正常，3、全局故障排除；區(qū)域劃分是否正常4、其它疑難問題二十三、關(guān)于局部故障排除需要檢查內(nèi)容：1、router id配置后正確；2、是否激活ospf協(xié)議3、檢查接

22、口是否配置屬于特定區(qū)域，show ip ospf interface xxx4、是否正確引入外部路由二十四、鄰居路由器之間故障排除：showipospf neigbor如果幾秒鐘到3分鐘之后，仍沒有和DR之間達(dá)到FULL狀態(tài)， 證明存在故障：1、檢查物理連接以及下層協(xié)議是否正常運(yùn)行；要使用PING以及多播檢查；2、檢查雙方在端口配置是否一致，包括 hello-interval,dead-interval,authentication,area 掩碼等；3、dead-interval 必須大于 hello-interval 4 倍以上；4、如果網(wǎng)絡(luò)類型為廣播或者NBMA，則至少有一臺(tái)路由器的pr

23、iority05、區(qū)域的stub屬性必須一致；6、接口的網(wǎng)絡(luò)類型必須一致；7、NBMA網(wǎng)絡(luò)中是否手工配置了鄰居二十五、關(guān)于所謂的其它疑難問題：1、路由表中丟失部分路由，檢查是否配置了路由過濾DISTRIBUTE-LIST NUMBER IN;2、路由表不穩(wěn)定，時(shí)通時(shí)斷，A-線路質(zhì)量不好B-多臺(tái)路由器同時(shí)撥一臺(tái)路由器，需要將Point-to-point更改為point-to-multipointC-自治系統(tǒng)內(nèi)可能存在兩個(gè)相同router id3、無法引入自治系統(tǒng)外部路由，可能處于stub區(qū)域；4、區(qū)域間路由聚合問題，A-存在兩個(gè)以上ABR，但是卻少配置了其中的一個(gè)或多個(gè)；B-檢察路由聚合命令是否

24、重復(fù)等等路由器第二章：BGP協(xié)議一、BGP(Border Gateway Protocol)邊界網(wǎng)關(guān)協(xié)議，一種自治系統(tǒng)間的動(dòng)態(tài)路由協(xié)議，通過交換AS序列屬性的路徑可 達(dá)信息來構(gòu)造自治區(qū)域的拓?fù)鋱D。二、BGP協(xié)議的概述：1、是一種外部路由協(xié)議；2、是一種D-V距離-矢量路由協(xié)議3、為路由附帶了屬性信息；4、傳送協(xié)議為TCP端口號(hào)179；5、支持 CIDR；6、路由更新時(shí)只發(fā)送增量路由7、具備豐富的路由過濾和路由策略。三、自治系統(tǒng)的編號(hào)范圍：165535，其中165411為INTERNET編號(hào)，6541265535為專用網(wǎng)絡(luò)編號(hào)。四、BGP有兩種鄰居：IBGP和EBGP五、BGP路由通告原則1、多

25、條路徑時(shí)，BGP SPEAKER只選擇最優(yōu)的給自己使用；2、BGP SPEAKER只把自己使用的路由通告給其他BGP；3、BGP SPEAKER從EBGP獲得的路由會(huì)向所有的BGP相鄰體轉(zhuǎn)發(fā)；4、BGP SPEAKER從IBGP獲得的路由不會(huì)向IBGP相鄰體轉(zhuǎn)發(fā)；5、BGP SPEAKER從IBGP獲得的路由是否向EBGP相鄰體轉(zhuǎn)發(fā)取決于IGP和EGP是否同步;6、連接一建立，BGP SPEAKER將自己所有的BGP路由通告給新的相鄰體。六、成為BGP路由的三種途徑：1、純動(dòng)態(tài)注入；2、半動(dòng)態(tài)注入；3、靜態(tài)注入。七、BGP報(bào)文種類為4種，最大4096字節(jié)：1、HELLO；2、KEEPALIVE

26、(19字節(jié)，發(fā)送間隔60秒)；3、UPDATE;4、NOTIFICATIONo八、UPDATE消息可以向BGP對(duì)等體通告時(shí)三個(gè)特點(diǎn):1、一個(gè)UPDATE消息一次只能通告一個(gè)路由，但可以攜帶多個(gè)路徑屬性；2、一個(gè)UPDATE消息一次也能通告多個(gè)路由，但必須攜帶同一個(gè)路徑屬性;3、一個(gè)UPDATE消息一次可以同時(shí)列出多個(gè)撤銷路由九、UPDATE消息由三部分構(gòu)成:1、不可達(dá)路由(unreachable)；2、路徑屬性(path attributes)；3、網(wǎng)絡(luò)可達(dá)性信息(nlri network layer reachable information)。十、BGP協(xié)議的6個(gè)狀態(tài)機(jī):1、IDLE2、C

27、ONNECT3、ACTIVE4、OPENSENT5、OPENCONFIRM6、ESTABLISHED十一、BGP常用6屬性情況類型代碼屬性名必遵/可選過渡/非過渡1ORIGIN必遵過渡2AS-PATH必遵過渡3NEXT-HOP必遵過渡4MED可選非過渡5Local-prefrence可選非過渡8Commuity可選過渡十二、BGP常見路由屬性6種，可擴(kuò)充為256種。十三、ORIGIN屬性：1、IGP，通過NETWORK引入的，2、EGP，通過EGP得到的；3、INCOMPLETE，通過 redistribute 引入的。十四、團(tuán)隊(duì)屬性：1、NO-EXPERT；不通告給AS外的BGP相鄰體；2、

28、NO-ADVERTISE，不通告給所有 BGP；3、LOCAL-AS，不通告給EBGP相鄰體；4、INTERNET通告所有路由器。十五、BGP路由選擇過程1、當(dāng)下一跳不可達(dá)，則忽略該路由2、選擇本地優(yōu)先級(jí)較大的路由3、如果本地優(yōu)先級(jí)相同，選擇從本路由器始發(fā)的路由4、選擇AS路徑短的路由5、順序選擇 IGP,EGP,INCOMPLETE 路由6、選擇MED小的路由7、選擇ROUTER ID小的路由十六、BGP在大規(guī)模網(wǎng)絡(luò)中遇到的問題：1、路由表龐大，需要用路由聚合解決；2、相鄰體過多，無法實(shí)現(xiàn)邏輯全連接，需要用路由反射、路由聯(lián)盟解決;3、負(fù)責(zé)網(wǎng)絡(luò)環(huán)境中路由變化過于頻繁，使用路由衰減解決。十七、路

29、由聚合方式：1、聚合但是抑制特定路由suppress-map；2、選擇具體路由予以聚合advertise-map；3、改變聚合路由AS屬性attribute-map；4、聚合時(shí)生成AS-SET聚合as-set十八、路由衰減的5個(gè)參數(shù)意義：1、可達(dá)半衰期；2、不可達(dá)半衰期；3、重用值；抑制值；懲罰上限。4、 5、路由器第三章：路由策略與引入一、路由策略的作用：1、過濾路由信息的手段；2、發(fā)布路由信息時(shí)只發(fā)送部分信息；3、接受路由信息時(shí)只接受部分信息；4、進(jìn)行路由引入時(shí)引入滿足特定條件的信息;5、設(shè)置路由協(xié)議引入的路由屬性。二、與路由策略相關(guān)的五種過濾器：1、路由映像(route-map)2、訪問

30、列表(access-list)3、前綴列表(prefix-list)4、自治系統(tǒng)路徑信息訪問列表(aspath-list)5、團(tuán)體屬性列表(community-list)三、路由策略和過濾器之間的關(guān)系1、當(dāng)路由引入的時(shí)候，5種過濾器都可以使用；2、當(dāng)路由發(fā)布的時(shí)候：prefix-list，access-list3、當(dāng)路由接受的時(shí)候：prefix-list， access-list 和 gateway四、路由策略配置任務(wù)列表包括：1、定義路由映像；2、定義路由映像的match子句；3、定義路由映像的set子句；4、引入其他協(xié)議的路由信息；5、定義地址前綴列表prefix-list；6、配置路由過

31、濾。五、定義路由映像時(shí)注意的是：1、route-map中所有條件是“或”的關(guān)系，符合一個(gè)就可以;2、match中是“與”的關(guān)系，必須全部符合。六、定義match子句時(shí)，可以定義的條件包括：1、as-path自治系統(tǒng)路徑；2、community-list 團(tuán)體屬性；3、ip addressprefix-list路由信息的目的地址4、interface路由信息下一跳接口；5、ip next-hop路由信息的下一跳；6、metric匹配路由信息的路由權(quán)值；7、metric k1 k2 k3 k4 k5 匹配 igrp 和 eigrp 的路由權(quán)值8、tag匹配ospf路由信息的標(biāo)識(shí)域9、route-t

32、ype匹配ospf路由信息的類型七、定義set子句的時(shí)候可以定義的條件包括：1、set as-path定義原as路徑前的as序號(hào)；2、set community定義bgp團(tuán)體的屬性；3、set ip next-hop定義bgp信息的下一跳地址；4、set local-preference定義bgp路由信息的本地優(yōu)先級(jí)；5、set metric定義路由信息的路由權(quán)值；6、set metrc k1 k2 k3 k4 k5 定義 igrp 和 eigrp 路由權(quán)值；7、set origin定義路由源；8、set tag設(shè)置ospf路由信息的標(biāo)識(shí)域。八、注意k1 k2 k3 k4 k5含義：1、k1

33、代表 bandwidth 帶寬bytes/s；2、k2代表delay時(shí)延116777215單位為10微秒；3、k3代表reliability信道可信度02554、k4代表loading信道占用率02555、k5代表mtu最大傳輸單元165535路由第四章-網(wǎng)絡(luò)安全特性一、網(wǎng)絡(luò)安全關(guān)注的范圍：1、保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊；2、使用有效的方式識(shí)別合法和非法的用戶；3、具有有效的訪問控制手段；4、保證內(nèi)部局域網(wǎng)的隱蔽性；5、重要數(shù)據(jù)的安全性以及有效的防偽手段；6、對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾恚?、病毒防范；8、對(duì)員工的安全防范意識(shí)進(jìn)行必要的教育。二、網(wǎng)絡(luò)傳統(tǒng)攻擊方

34、式：1、竊聽報(bào)文；2、IP地址欺騙；3、源路由攻擊；4、端口掃描；5、拒絕服務(wù)攻擊；6、應(yīng)用層攻擊。三、網(wǎng)絡(luò)安全的必要技術(shù)：1、可靠性與線路安全；2、身份認(rèn)證；（訪問路由器驗(yàn)證、對(duì)端路由器身份驗(yàn)證、路由信息身份驗(yàn)證）3、訪問控制；（路由器訪問控制、基于五元組的訪問控制、基于用戶的訪問控制） 五元組：源IP地址、目的IP地址、協(xié)議號(hào)、源端口、目的端口。4、信息隱藏；地址轉(zhuǎn)換技術(shù)；5、數(shù)據(jù)加密和防偽；數(shù)字簽名四、Quidway路由器的安全技術(shù)1、AAA網(wǎng)絡(luò)安全服務(wù)(基于用戶名的驗(yàn)證、授權(quán)、記賬，使用RADIUS協(xié)議)；2、包過濾技術(shù)；3、地址轉(zhuǎn)換技術(shù)；4、IPSEC 和 IKE 技術(shù)。(IPSEC

35、 通過 Authentication Header 和 Encapsulating Security Payload兩個(gè)安全協(xié)議實(shí)現(xiàn))5、隧道技術(shù)，(VPN核心技術(shù)，二層隧道技術(shù)VPDN，三層隧道技術(shù)IPSEC,GRE)五、提供AAA支持的服務(wù)包括：1、PPP，PPP的CHAP和PAP驗(yàn)證用戶；2、EXEC，通過TELNET登陸到路由器以及CONSOLE,AUX等；3、FTP，通過FTP登陸到路由器。六、驗(yàn)證包括：1、對(duì)用戶名和口令的驗(yàn)證；2、PPP 的 PAP 和 CHAP 驗(yàn)證；3、主叫號(hào)碼驗(yàn)證。七、授權(quán)包括：1、服務(wù)類型授權(quán)，可以是PPP,EXEC,FTP中的一種或者多種；2、回呼號(hào)碼授

36、權(quán)，對(duì)PPP回呼用戶可以設(shè)定回呼號(hào)碼；3、隧道屬性授權(quán)，配置L2TP隧道屬性。八、進(jìn)行AAA驗(yàn)證的用戶都缺省計(jì)費(fèi)，如果不希望計(jì)費(fèi)，一定要配置：aaa accounting optional九、AAA的方法表，LOGIN只能配置一個(gè)方法表，PPP可以配置多個(gè)方法表。1、RADIUS2、LOCAL3、NONE4、RADIUS+LOCAL5、RADIUS+NONE十、路由器資源有限，最多只支持配置50個(gè)用戶，所以大量用戶使用RADIUS服務(wù)器十一、原語為各服務(wù)(PPP,EXEC,FTP)與AAA功能的接口，常見7種：其中請求原語3個(gè)：1、join(pap)2、join(chap)3、leave返回結(jié)

37、果原語3個(gè)：4、accept5、reject6、bye另外一種：如果沒有配置aaa accounting optional，則要求相應(yīng)服務(wù)切斷用戶：7、cut十二、RADIUS(Remote Authentication Dial-in User Service)采用的(client/server 客戶機(jī)/服務(wù)器)結(jié)構(gòu)，使用UDP 作為傳 輸協(xié)議，使用MD5加密算法進(jìn)行數(shù)字簽名。十三、RADIUS協(xié)議使用了兩個(gè)UDP端口分別用于驗(yàn)證(1812端口，RFC2138規(guī)定的)、計(jì)費(fèi)(1813，RFC2139規(guī)定 的)十四、驗(yàn)證和授權(quán)過程：1、首先發(fā)送驗(yàn)證請求包：CHAP驗(yàn)證中包含用戶名、驗(yàn)證過程中的

38、Challenge chap identifier response、主叫號(hào) 碼驗(yàn)證還需要有主叫號(hào)碼。2、RADIUS驗(yàn)證請求包；3、路由器收到訪問接受/拒絕包時(shí)，首先判斷包的簽名是否正確，然后進(jìn)行處理。十五、RADIUS計(jì)費(fèi)過程包括：計(jì)費(fèi)請求和計(jì)費(fèi)應(yīng)答。十六、每一個(gè)用戶計(jì)費(fèi)過程：計(jì)費(fèi)開始、實(shí)時(shí)計(jì)費(fèi)、計(jì)費(fèi)結(jié)束。十七、計(jì)費(fèi)信息：會(huì)話時(shí)長、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)、輸入包數(shù)、輸出包數(shù)。路由器第五章：VPN原理及配置一、VPN(virtual private network)，按照應(yīng)用分類為：1、ACCESS VPN;2、INTRANET VPN;3、EXTRANET VPN二、VPN按照實(shí)現(xiàn)方式劃分

39、：1、點(diǎn)到網(wǎng)的；基于以下協(xié)議L2TP(LAYER 2 TUNNEL PROTOCOL)PPTP(POINT TO POINT TUNNEL PROTOCOL)L2F(LAYER 2 FORWARDING)2、網(wǎng)到網(wǎng)的，基于以下協(xié)議：GRE(general routing encapsulation)IPSEC(ip security protocol suite)IPSEC/BGPMPLS/BGP(multi-protocol lable switch)三、VPN安全性設(shè)計(jì)原則：1、隧道與加密；2、數(shù)據(jù)驗(yàn)證；3、用戶驗(yàn)證；4、防火墻與攻擊檢測。四、VPN網(wǎng)絡(luò)管理設(shè)計(jì)原則:1、減小網(wǎng)絡(luò)風(fēng)險(xiǎn)；2、

40、擴(kuò)展性；3、經(jīng)濟(jì)性；4、可靠性。五、QUIDWAY系列路由器的VPN技術(shù)：1、隧道技術(shù)；2、IPSEC;（私有性、完整性、真實(shí)性、防重放）3、密鑰交換技術(shù)；4、防火墻技術(shù)；5、QOS6、配置管理。六、QUIDWAY系列路由器的VPN解決方案1、ACCESS VPN;2、INTRANET VPN;3、EXTRANET VPN4、結(jié)合防火墻的VPN解決方案七、L2TP協(xié)議的特性：1、適用于點(diǎn)到網(wǎng)的協(xié)議2、支持私有地址分配，不占用公有IP地址；3、與PPP配合支持AAA功能，與RADIUS配置支持靈活的本地和遠(yuǎn)端的AAA；4、與IPSEC結(jié)合，支持對(duì)報(bào)文的加密；5、配置簡單，接入靈活。八、企業(yè)員工通

41、過兩種方式接入總部網(wǎng)絡(luò)：1、通過直接連入POP點(diǎn)，在用戶側(cè)配置VPN撥號(hào)軟件就可以通訊；2、通過PSTN/ISDN接入LAC，讓LAC通過INTERNET向LNS發(fā)起建立通道連接請求，不需要配置VPN撥號(hào) 軟件，利用ISP提供的VPN賬號(hào)。九、L2TP的基本控制流程：1、隧道建立流程，三次握手，首先LAC向LNS發(fā)送SCCRQ，LNS向LAC回復(fù)SCCRP，LAC向LNS發(fā)送SCCCN。2、會(huì)話建立流程，三次握手，首先LAC向LNS發(fā)送ICRQ, LNS向LAC回復(fù)ICRP, LAC向LNS發(fā)送ICCN。十、L2TP基本控制流程中維護(hù)、拆除部分：1、隧道維護(hù)，雙方互發(fā)HELLOZLB；2、隧道

42、拆除，雙方互發(fā)STOPCCN-aZLB；3、會(huì)話拆除：雙方互發(fā)CDN-aZLBo 十二、L2TP數(shù)據(jù)傳輸三種類型：1、基本數(shù)據(jù)傳輸；2、帶序列號(hào)但是不帶流量控制的數(shù)據(jù)傳輸;3、帶序列號(hào)同時(shí)帶流量控制的數(shù)據(jù)傳輸。十三、L2TP的排錯(cuò)：1、用戶登陸失?。?）TUNNEL建立失敗;A、LAC側(cè)，LNS地址設(shè)備不對(duì)；B、LNS端沒有設(shè)置接受以通道對(duì)端的VPDN組，可用ACCEPT DIALIN察看；C、TUNNEL驗(yàn)證密碼不一致；D、本端強(qiáng)制掛斷后，快速重連。也就是同一個(gè)IP地址的對(duì)端同時(shí)連接不允許。2)PPP協(xié)商不通過：A、LAC端設(shè)置用戶名密碼有誤，或者LNS端沒有相應(yīng)用戶；B、LNS端不能分配地

43、址；C、密碼驗(yàn)證類型不一致，比如WINDOWS2000的缺省是MSCHAP。2、傳輸失?。河脩舳伺渲糜姓`，IP地址分配錯(cuò)誤；網(wǎng)絡(luò)擁塞。十四、GRE(generic routing encapulation)通用路由封裝協(xié)議，可以實(shí)現(xiàn)服務(wù)：1、多協(xié)議的網(wǎng)絡(luò)通過單一協(xié)議的網(wǎng)絡(luò)連接起來；2、擴(kuò)大了網(wǎng)絡(luò)工作范圍，包括路由網(wǎng)關(guān)有限的協(xié)議3、ipx包只能轉(zhuǎn)發(fā)16次，但是在一個(gè)tunnel連接看，只經(jīng)過一個(gè)路由器；4、將一些不連續(xù)的子網(wǎng)連接起來。十五、L2TP從屬于二層隧道協(xié)議，而GRE從屬于三層隧道協(xié)議，協(xié)議號(hào)47。十六、GRE的實(shí)現(xiàn)經(jīng)過的三個(gè)步驟：1、建立 TUNNEL；2、實(shí)現(xiàn)TUNNEL加封裝過程；3、實(shí)現(xiàn)TUNNEL解封裝過程。十七、GRE配置具體步驟1、配置 TUNNEL 接口： interface tunnel xxx2、配置 tunnel 接 口源端地址：tunnel source x.x.x.x3、配置 tunnel 接口對(duì)端地址：tunnel destination x.x.x.x4、配置 tunnel 網(wǎng)絡(luò)地址：ip address x.x.x.x x.x.x.x5、配置 tunnel 接 口工作模式：tunnel mode gre ip6、配置識(shí)別關(guān)鍵字或者端到端校驗(yàn)tunnel key xxx/tunnel