7.1.1使用VLAN技術(shù)的優(yōu)勢:通過劃分VLAN子網(wǎng)，能劃小了廣播域，避免了廣播風(fēng)暴的產(chǎn)生。提高交換網(wǎng)絡(luò)的交換效率，保證網(wǎng)絡(luò)穩(wěn)定，提高網(wǎng)絡(luò)安全性，根據(jù)Ambow公司內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)的需求，采用VLAN技術(shù)來劃分企業(yè)網(wǎng)絡(luò)，一個(gè)VLAN可以將公司部門、項(xiàng)目組或者服務(wù)器組將不同地理位置的工作站劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在子網(wǎng)之間移動(dòng)VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制VLAN技術(shù)很好的解決了網(wǎng)絡(luò)管理的問題能實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)督與管理的自動(dòng)化，從而更有效的進(jìn)行網(wǎng)絡(luò)監(jiān)控。VLAN劃分1、 根據(jù)端口劃分Vlan以交換機(jī)端口劃分網(wǎng)絡(luò)成員，配置過成簡單明了，是常用的一種方式。2、 根據(jù)MAC地址劃分VLAN根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪VLAN。這種劃分方法的優(yōu)點(diǎn)是當(dāng)用戶物理位置移動(dòng)時(shí)VLAN不用重新配置，缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，管理員的配置工作量非常大。3、 根據(jù)網(wǎng)絡(luò)層劃分VLAN根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型劃分。4、 根據(jù)IP組播劃分VLANIP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。5、 基于規(guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。6、 按用戶定義、非用戶授權(quán)劃分LAN基于用戶定義、非用戶授權(quán)來劃分LAN，是指為了適應(yīng)特別的/LAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)LAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得至VLAn管理的認(rèn)證后才可以加入一Mlan。VTP技術(shù)：VTP(VLANTrunkingProtocol:是Vlan中級協(xié)議，也稱為虛擬局域網(wǎng)干道協(xié)議VTP協(xié)議是思科的專用協(xié)議，大多數(shù)的Catalys交換機(jī)都支持該協(xié)議,TP可以減少Vian的相關(guān)管理任務(wù)。VTP有三種工作模式：VTPServer、VTPClient和VTPTransparent7.2.2使用VTP技術(shù)的優(yōu)勢：使用VTP技術(shù)，主要是為了防止不需要的廣播信息從一個(gè)lan泛洪到VTP域中所有的中繼鏈路。Vtp修剪允許交換機(jī)協(xié)商將那些VLAN分配到中繼鏈路另一端的端口，因此剪除未分配到遠(yuǎn)程交換機(jī)端口的/LAN。VTP修剪功能默認(rèn)為禁用，可以使用全局配置命令tppruning啟用vtp修剪，只需要在域內(nèi)一臺VTP服務(wù)器交換機(jī)上啟用修剪功能即可。STP生成樹協(xié)議：STP（SpanningTreeProtocol生成樹協(xié)議該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。邏輯上斷開環(huán)路，防止廣播風(fēng)暴的產(chǎn)生。當(dāng)線路出現(xiàn)故障，斷開的接口被激活，恢復(fù)通信，起到線路備份的作用。Stp使用生成樹算法STA）計(jì)算網(wǎng)絡(luò)中的那些交換機(jī)端口應(yīng)配置為阻塞以防止出現(xiàn)環(huán)路。所有參與STP的交換機(jī)互相交換3PDU幀，BPDU幀是運(yùn)行STP的交換機(jī)之間交換的包含STP消息的幀。每個(gè)BPDU都包含一個(gè)BID，用于標(biāo)識發(fā)送該BPDU的交換機(jī)。7.3.1使用STP協(xié)議的優(yōu)勢：根據(jù)所設(shè)計(jì)的拓?fù)鋱D，采用生成樹的協(xié)議，該協(xié)議的目的是在實(shí)現(xiàn)交換機(jī)之間的冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，它實(shí)現(xiàn)在交換機(jī)之間傳遞橋接，。當(dāng)邏輯上斷開環(huán)路，防止廣播風(fēng)暴的產(chǎn)生，當(dāng)線路出現(xiàn)故障，斷開的借口唄激活，恢復(fù)通信，起備份線路的作用。EthernetChannel：以太通道也稱為以太端口捆綁、端口聚集或以太鏈路聚集。以太通道為交換機(jī)提供了端口捆綁的技術(shù)，將多個(gè)物理以太網(wǎng)端口聚合在一起形成一個(gè)邏輯上的聚合組；同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路鏈。路聚合可以實(shí)現(xiàn)出/入負(fù)荷在聚合組中各個(gè)成員端口之間分擔(dān)，以增加帶寬。同時(shí)，同一聚合組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性。7.4.1以太通道的特點(diǎn)：以太網(wǎng)通道最多可以捆綁8條物理鏈路，可以是雙絞線，也可以是光纖。以太通道的規(guī)則：參與捆綁的端口必須屬于同一個(gè)LAN,或者都是中繼模式如果端口配置是中繼模式，則鏈路中的兩個(gè)端口必須都是中繼模式所有參與捆綁的端口的物理參數(shù)必須相同，例如全部為半雙工或者全部為全雙工。使用Etherchannel的優(yōu)勢：GEC技術(shù)一方面為我們提供了一種擴(kuò)展網(wǎng)絡(luò)帶寬的手段另一方面，它還為連接提供了容錯(cuò)。平時(shí)，網(wǎng)絡(luò)流量是被分?jǐn)偟玫綐?gòu)成EC/FEC的2條或多條物理鏈路上，如果其中一條鏈路發(fā)生故障，該故障鏈路上的物理流量會立刻被重新分配到其他正常的流量Congenial達(dá)到了容錯(cuò)的目的。7.4.3以太通道的特點(diǎn)：以太網(wǎng)通道最多可以捆繃條物理鏈路，可以是雙絞線，也可以是光纖。7.4.4以太通道的規(guī)則：參與捆綁的端口必須屬于同一個(gè)LAN,或者都是中繼模式Trunk技術(shù)Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器，還可以是主機(jī)和交換機(jī)或路由器。基于端口匯聚（nk）功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、主機(jī)與交換機(jī)或路由器之間通過兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個(gè)網(wǎng)絡(luò)能力。是帶寬擴(kuò)展和鏈路備份的一個(gè)重要途徑。TRUNK把多個(gè)物理端口捆綁在一起當(dāng)作一個(gè)邏輯端口使用，可以把多組端口的寬帶疊加起來使用°TRUNK技術(shù)可以實(shí)現(xiàn)TRUNK內(nèi)部多條鏈路互為備份的功能，即當(dāng)一條鏈路出現(xiàn)故障時(shí)，不影響其他鏈路的工作，同時(shí)多鏈路之間還能實(shí)現(xiàn)流量均衡。HSRP路由熱備份：HSRP（HotStandbyRouterProtocol）是CISC0公司制定的專有路由器備份協(xié)議，支持多臺路由器形成熱備而消除單臺設(shè)備失效造成的網(wǎng)絡(luò)中斷HSRP允許在一個(gè)局域網(wǎng)（以太網(wǎng)，令牌環(huán)，F(xiàn)DDI）上或ISL封裝的VLAN上的多個(gè)路由器共享一個(gè)虛擬P地址和MAC地址，共享地址的一組路由器被配置成SRP組，組中每一個(gè)路由器配置一個(gè)組P地址和優(yōu)先級。存在一個(gè)路由器是活躍激活的接受所有合法網(wǎng)絡(luò)IP/MAC地址包，如果激活的路由器發(fā)生故障，組中的另一個(gè)路由器激活并接收包。7.6.1使用HSRP的優(yōu)勢：我們使用HSRP來實(shí)現(xiàn)故障路由器的接管OHSRP協(xié)議是Cisco公司制定的專有路由器備份協(xié)議，支持多臺路由器形成備份而消除單臺設(shè)備失效造成的網(wǎng)絡(luò)中斷。比且確保了當(dāng)網(wǎng)絡(luò)邊緣或接入鏈路出現(xiàn)故障時(shí)，用戶通信能迅速并透明的恢復(fù)，并為此網(wǎng)絡(luò)提供了冗余性。HSRP支持在某個(gè)路由器出現(xiàn)故障時(shí)可以快速的進(jìn)行默認(rèn)網(wǎng)關(guān)的切換，通過共同提供一個(gè)地址和MAC地址，兩個(gè)或者多個(gè)路由器可以做為一個(gè)虛擬路由器當(dāng)某個(gè)路由器出現(xiàn)故障時(shí)，其他路由器可以無縫的接替它進(jìn)行路由選擇，。這樣就很好的解決了路由器切換的問題。為了把網(wǎng)絡(luò)阻塞降到最底限度，網(wǎng)絡(luò)中只有活路由器和備份路由器可以在完成RP協(xié)議選擇過程后發(fā)送一次HSRP消息包。如果活路由器失效，則備份路由器將取代它作為新的活路由器工作。而當(dāng)備份路由器失效或者它變成了活路由器時(shí)，另外一個(gè)路由器將被選為備份路由器。DHCP：DHCP動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DynamicHostConfigurationProtocol,DHCP是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)管理員作為對所有計(jì)算機(jī)作中央管理的手段。VPN技術(shù)：虛擬專用網(wǎng)（vpn）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進(jìn)行幾倍加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN技術(shù)分為L2LP、GRE、IPsec。IPSec（Internet協(xié)議安全）是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。Site-to-SiteVPNSite-to-SiteVPN就是站點(diǎn)到站點(diǎn)的VPN。IPSec（IPSecurity）是IETF制定的為保證在Internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議。IPSec包括報(bào)文驗(yàn)證頭協(xié)議AH（協(xié)議號51）和報(bào)文安全封裝協(xié)議ESP（協(xié)議號50)兩個(gè)協(xié)議。 IPSec有隧道(tunnel)和傳送(transport)兩種工作方式它提供兩個(gè)安全協(xié)議：1、 AH(AuthenticationHeader報(bào)文認(rèn)證頭協(xié)議MD5(MessageDigest5)SHA1(SecureHashAlgorithm)2、 ESP(EncapsulationSecurityPayloa封裝安全載荷協(xié)議DES(DataEncryptionStandard)3DES其他的加密算法:Blowfish，blowfishcast安全特性：數(shù)據(jù)機(jī)密性Confidentialit)數(shù)據(jù)完整性0ataIntegrit)數(shù)據(jù)來源認(rèn)證(DataAuthentication、反重放(Anti-Replay)EasyVPNEasyVPN又名ezVPN,是Cisco專用VPN技術(shù)。它分為EASYVPNSERVER和EASYVPNREMOTE兩種，EASYVPNSERVER是REMOT—ACCESSVPN專業(yè)設(shè)備。配置復(fù)雜，支持POLICYPUSHING等特性，現(xiàn)在的900、1700、PIX、VPN3002和ASA等很多設(shè)備都支持。此種技術(shù)應(yīng)用在中小企業(yè)居多。如Cisco金睿系類的路由器都有整合asyVPN。QOS技術(shù)：QualityofService(服務(wù)質(zhì)量)是指網(wǎng)絡(luò)通信過程中，允許用戶業(yè)務(wù)在丟包率、延遲、抖動(dòng)和帶寬等方面獲得可預(yù)期的服務(wù)水平。IPQoS目標(biāo)是：避免并管理IP網(wǎng)絡(luò)擁塞、減少IP報(bào)文的丟失率、調(diào)控IP網(wǎng)絡(luò)的流量、為特定用戶或特定業(yè)務(wù)提供專用帶寬、支擠網(wǎng)絡(luò)上的實(shí)時(shí)業(yè)務(wù)。7.9.1QOS的服務(wù)模型有三種常見模式：Best-Effortservice模型：是目前Internet的缺省服務(wù)模型，主要實(shí)現(xiàn)技術(shù)是先進(jìn)先出隊(duì)列(FIFO)。Integratedservice模型：通過信令向網(wǎng)絡(luò)申請?zhí)囟ㄑ猳S服務(wù)，網(wǎng)絡(luò)在流量參數(shù)描述的范圍內(nèi)，預(yù)留資源以承諾滿足該請求。Differentiatedservice模型：當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)，根據(jù)業(yè)務(wù)的不同服務(wù)等級約定，有差別地進(jìn)行流量控制和轉(zhuǎn)發(fā)來解決擁塞問題。NAT技術(shù):NAT(NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換)是將CP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。這種通過使用少量的公網(wǎng)P地址代表較多的私網(wǎng)IP地址的方式，將有助于減緩可用P地址空間的枯竭。7.10.1NAT的類型有：靜態(tài)NAT(StaticNAT)動(dòng)態(tài)地址NAT(PooledNAT)網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port—LevelNAT)7.10.2使用靜態(tài)NAT技術(shù)到的優(yōu)勢：1對于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問外部資源，則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實(shí)現(xiàn)。2通過公網(wǎng)地址與端口的結(jié)合，可使多個(gè)私網(wǎng)用戶共用一個(gè)公網(wǎng)地址3通過靜態(tài)映射，不同的內(nèi)部服務(wù)器可以映射到同一個(gè)公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務(wù)器同時(shí)還隱藏了內(nèi)部服務(wù)器的真實(shí)P地址，從而防止外部對內(nèi)部服務(wù)器乃至內(nèi)部網(wǎng)絡(luò)的攻擊行為。4方便網(wǎng)絡(luò)管理，如通過改變映射表就可實(shí)現(xiàn)私網(wǎng)服務(wù)器的遷移，內(nèi)部網(wǎng)絡(luò)的改變也很容易。ACL訪問控制列表訪問控制列表(AccessControlListACL)是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包OACL適用于所有的被路由協(xié)議，如P、IPX、AppleTalk等。這張表中包含了匹配關(guān)系、條件和查詢語句，表只是一個(gè)框架結(jié)構(gòu)，其目的是為了對某種訪問進(jìn)行控制。信息點(diǎn)間通信，內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之,ACL可以過濾網(wǎng)絡(luò)中的流量，控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。ACL的定義也是基于每一種協(xié)議的。如果路由器接口配置成為支持三種協(xié)議(IP、AppleTalk以及IPX)的情況，那么，用戶必須定義三種CL來分別控制這三種協(xié)議的數(shù)據(jù)包。ACL的分類：目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL、通過命名、通過時(shí)間。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如P）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到'允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”那么，他可以使用擴(kuò)展1CL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。在標(biāo)準(zhǔn)與擴(kuò)展訪問控制列表中均要使用表號而，在命名訪問控制列表中使用一個(gè)字母或數(shù)字組合的字符串來代替前面所使用的數(shù)字。使用命名訪問控制列表可以用來刪除某一條特定的控制條目，這樣可以讓我們在使用過程中方便地進(jìn)行修改。隨著網(wǎng)絡(luò)的發(fā)展和用戶要求的變化，從OS12.O開始，思科CISCO）路由器新增加了一種基于時(shí)間的訪問列表。通過它，可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種基于時(shí)間的訪問列表，就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中，加入有效的時(shí)間范圍來更合理有效地控制網(wǎng)絡(luò)首。先定義一個(gè)時(shí)間范圍，然后在原來的各種訪問列表的基礎(chǔ)上應(yīng)用它。ACL的特點(diǎn)：ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級ACL提供對通信流量的控制手段ACL是提供網(wǎng)絡(luò)安全訪問的基本手段IOS防火墻：所謂防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成在、內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。防火墻技術(shù)，最初是針對Internet網(wǎng)絡(luò)不安全因素所采取的一種保護(hù)措施顧名思義，防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，Ifeternet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件（其中硬件防火墻用的很少只有國防部等地才用,因?yàn)樗鼉r(jià)格昂貴）。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。功能：防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。OSPF協(xié)議開放式最短路徑優(yōu)先OpenShortestPathFirstOSPF）協(xié)議是一種為IP網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由ETF開發(fā)并推薦使用°OSPF協(xié)議由三個(gè)子協(xié)議組成:Hello協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中Hello協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息擴(kuò)；散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護(hù)。OSPF協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個(gè)AS的拓?fù)浣Y(jié)構(gòu)（在AS不劃分的情況下）一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫該路由器就可以自己為根，構(gòu)造最短路徑路徑樹，然后再根據(jù)最短路徑構(gòu)造路徑表。對于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量利于管理和計(jì)算。OSPF將整個(gè)AS劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫保存該區(qū)域的拓?fù)鋱D結(jié)構(gòu)QSPF路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)）SPF定義了5種分組:Hello分組用于建立和維護(hù)鄰居關(guān)系；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動(dòng)擴(kuò)展自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行相應(yīng)于OSPF直接運(yùn)行在IP層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組狀態(tài)更新分組進(jìn)行確認(rèn)。相對于其他協(xié)議,OSPF有許多優(yōu)點(diǎn)oOSPF支持各種不同鑒別機(jī)制（如簡單口令驗(yàn)證,MD5加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制提；供負(fù)載均衡功能，如果計(jì)算出道某個(gè)目的站有若干條費(fèi)用相同的路曲SPF路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自制系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每一個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這樣減少了SPF路由實(shí)現(xiàn)的工作量;OSPF屬于動(dòng)態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速的作出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比,OSPF在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持CIDR(無類路曲地址。OSPF協(xié)議的優(yōu)點(diǎn)：OSPF能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫內(nèi)表示整個(gè)網(wǎng)絡(luò)，這極大地減少了收斂時(shí)間，并且支持大型異構(gòu)網(wǎng)絡(luò)的互聯(lián)，提供了一個(gè)異構(gòu)網(wǎng)絡(luò)