当接口在多路访问网络上初次启动的时候.doc

3. 当接口在多路访问网络上初次启动的时候,它把DR/BDR地址设置为0.0.0.0,同时设置等待计时器(wait timer)的值等于路由器无效间隔(Router Dead Interval).DR BDR选取过程：1. 路由器X在和邻居建立双向(2-Way)通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居(priority不为).2. 如果有一台或多台这样的路由器宣告自己为BDR（也就是说，在其Hello包中将自己列为BDR，而不是DR），选择其中拥有最高路由器优先级的成为BDR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为BDR，选择列表中路由器拥有最高优先级的成为BDR，（同样排除宣告自己为DR的路由器），如果相同，再根据路由器标识。3. 按如下计算网络上的DR。如果有一台或多台路由器宣告自己为DR（也就是说，在其Hello包中将自己列为DR），选择其中拥有最高路由器优先级的成为DR；如果相同，选择拥有最大路由器标识的。如果没有路由器宣告自己为DR，将新选举出的BDR设定为DR。4.如果路由器X新近成为DR或BDR，或者不再成为DR或BDR，重复步骤2和3，然后结束选举。这样做是为了确保路由器不会同时宣告自己为DR和BDR。5. 要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的。6. DR/BDR选举完成后,DRother只和DR/BDR形成邻接关系.所有的路由器将组播Hello包到AllSPFRouters地址224.0.0.5以便它们能跟踪其他邻居的信息,即DR将泛洪update packet到224.0.0.5;DRother只组播update packet到AllDRouter地址224.0.0.6,只有DR/BDR监听这个地址.DR的筛选过程1.优先级为0的不参与选举；2.优先级高的路由器为DR；3.优先级相同时，以router ID 大为DR；router ID 以回环接口中最大ip为准；若无回环接口，以真实接口最大ip为准。4.缺省条件下，优先级为1。OSPF邻居关系邻接关系建立的4个阶段:Ø 邻居发现阶段Ø 双向通信阶段：Hello报文都列出了对方的RID，则BC完成.Ø 数据库同步阶段：Ø 完全邻接阶段: full adjacency邻居关系的建立和维持都是靠Hello包完成的,在一般的网络类型中,Hello包周期性的以HelloInterval秒发送,有1个例外:在NBMA网络中,路由器每经过一个PollInterval周期发送Hello包给状态为down的邻居(其他类型的网络是不会把Hello包发送给状态为down的路由器的).Cisco路由器上PollInterval默认60s Hello Packet以组播的方式发送给224.0.0.5，在NBMA类型，点到多点和虚链路类型网络，以单播发送给邻居路由器。邻居可以通过手工配置或者Inverse-ARP发现.5.3 ACL访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议（IP、AppleTalk以及IPX）的情况，那么，用户必须定义三种ACL来分别控制这三种协议的数据包。5.3.1 ACL的特点Ø ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。Ø ACL可以限制网络流量、提高网络性能。Ø ACL可以根据数据包的协议，指定数据包的优先级Ø ACL提供对通信流量的控制手段Ø ACL是提供网络安全访问的基本手段5.3.2 ACL的执行过程一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。5.3.3 ACL的分类目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。 标准的ACL使用 1 99 以及13001999之间的数字作为表号，扩展的ACL使用 100 199以及20002699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。5.3.4 定义ACL （1）ACL的列表号指出了是哪种协议的ACL。各种协议有自己的ACL，而每个协议的ACL又分为标准ACL和扩展ACL。这些ACL是通过ACL列表号区别的。如果在使用一种访问ACL时用错了列表号，那么就会出错误。 （2）一个ACL的配置是每协议、每接口、每方向的。路由器的一个接口上每一种协议可以配置进方向和出方向两个ACL。也就是说，如果路由器上启用了IP和IPX两种协议栈，那么路由器的一个接口上可以配置IP、IPX两种协议，每种协议进出两个方向，共四个ACL。 （3）ACL的语句顺序决定了对数据包的控制顺序。在ACL中各描述语句的放置顺序是很重要的。当路由器决定某一数据包是被转发还是被阻塞时，会按照各项描述语句在ACL中的顺序，根据各描述语句的判断条件，对数据报进行检查，一旦找到了某一匹配条件就结束比较过程，不再检查以后的其他条件判断语句。 （4）最有限制性的语句应该放在ACL语句的首行。把最有限制性的语句放在ACL语句的首行或者语句中靠近前面的位置上，把“全部允许”或者“全部拒绝”这样的语句放在末行或接近末行，可以防止出现诸如本该拒绝(放过)的数据包被放过(拒绝)的情况。 （5）新的表项只能被添加到ACL的末尾，这意味着不可能改变已有访问控制列表的功能。如果必须改变，只有先删除已存在的ACL，然后创建一个新ACL，将新ACL应用到相应的接口上。 （6）在将ACL应用到接口之前，一定要先建立ACL。首先在全局模式下建立ACL，然后把它应用在接口的出方向或进方向上。在接口上应用一个不存在的ACL是不可能的。 （7）ACL语句不能被逐条的删除，只能一次性删除整个ACL。 （8）在ACL的最后，有一条隐含的“全部拒绝”的命令，所以在 ACL里一定至少有一条“允许”的语句。 （9）ACL只能过滤穿过路由器的数据流量，不能过滤由本路由器上发出的数据包。 （10）在路由器选择进行以前，应用在接口进入方向的ACL起作用。 （11）在路由器选择决定以后，应用在接口离开方向的ACL起作用。5.4 PPP点对点协议l l链路控制：有一个称为LCP的链路控制协议，支持同步和异步线路，也支持面向字节的和面向位的编码方式，可用于启动路线、测试线路、协商参数、以及关闭线路。PPP多连接协议可以在两个系统间提供多条连接，以增加额外带宽。当进行远程资源访存时，PPP多连接协议允许将两个带宽合而为一或者将物理通信线路比如模拟调制解调器，ISDN和其他的模拟或数字链路进行合并以提高整体的吞吐量。 l l链路控制协议LCP（作为PPP协议的一个组成部分和PPP定义在同一个RFC中）使用标示自己的特殊数字作为特征来发现回路。当使用PPP协议的时候，端点发出具有和其他端点都不相同的特殊数字标识的LCP信息，如果线路存在回路，发出这个信息的端点就会收到含有自己标识的信息而不是其他人的标识信息。 l lPPP协议提供钩子供每个端用户自动配置网络接口（设置IP地址和默认网关等）和身份鉴别。网络控制：具有协商网络层选项的方法，并且协商方法与使用的网络层协议独立5.5 路由规划拓扑图5.6 IP地址规划IP地址规划在网络设计中的作用举足轻重。直接影响整个网络运营的效率。IP地址设计的总原则是简单、易管理、以扩展。IP地址是TCP/IP协议中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP地址：唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性:续地址在层次结构中易于进行路由总结（Route Summarization），大大所见路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需要的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术（VLSM）,以满足多种路由策略的优化，充分利用地址空间。总部IP规划部门VALNIDIP子网掩码网关上网方式IP获取方式财务部2192.168.2.0255.255.255.0192.168.2.254NATDHCP行政部3192.168.3.0255.255.255.0192.168.3.254NATDHCP外联部4192.168.4.0255.255.255.0192.168.4.254NATDHCP技术部5192.168.5.0255.255.255.0192.168.5.254NATDHCP信息办6192.168.6.0255.255.255.0192.168.6.254NATDHCP信息科7192.168.7.0255.255.255.0192.168.7.254NATDHCP品保部8192.168.8.0255.255.255.0192.168.8.254NATDHCP人力资源部9192.168.9.0255.255.255.0192.168.9.254NATDHCP企业文化部10192.168.10.0255.255.255.0192.168.10.254NATDHCP安全环保部11192.168.11.0255.255.255.0192.168.11.254NATDHCP制造技术部12192.168.12.0255.255.255.0192.168.12.254NATDHCP采购部13192.168.13.0255.255.255.0192.168.13.254NATDHCP项目经理部14192.168.14.0255.255.255.0192.168.14.254NATDHCP仓储中心15192.168.15.0255.255.255.0192.168.16.254NATDHCP教培中心16192.168.16.0255.255.255.0192.168.16.254NATDHCP生产部17192.168.17.018.0255.255.255.0192.168.17.254192.168.18.254NATDHCP服务器Web192.168.18.0255.255.255.0192.168.18.254无手动配置File192.168.19.0255.255.255.0192.168.18.254无手动配置Mail192.168.20.0255.255.255.0192.168.18.254无手动配置Dns192.168.21.0255.255.255.0192.168.18.254无手动配置Dhcp192.168.22.0255.255.255.0192.168.18.254无手动配置Ftp192.168.23.0255.255.255.0192.168.18.254无手动配置其它设备互联：192.168.24.0-192.168.30.0/24分部IP规划分部IP地址范围子网掩码上网方式IP获取方式1192.168.11.019.0255.255.255.0NATDHCP2192.168.20.028.0255.255.255.0NATDHCP3192.168.29.037.0255.255.255.0NATDHCP4192.168.38.046.0255.255.255.0NATDHCP5192.168.47.055.0255.255.255.0NATDHCP其它设备互联：192.168.56.0/24-192.168.65.0/24 By-gnksguybb