网络设备安全配置PPT课件(共10章)第5章--网络互连技术及路由器

第第5章章网络互连技术及路由器网络互连技术及路由器准备知识（一）网络层网络层TCP/IP协议协议5.1.1TCP/IP中的协议TCP/IP体系TCP/IP协议族网际互联协议IP协议工作在TCP/IP协议结构的网际互联层，属于被路由协议。IP协议的基本功能是提供无连接的数据报传送服务和数据报路由选择服务，但不保证服务的可靠性。IP协议提供以下功能：IP地址寻址功能，指出发送和接收IP数据报的源IP地址及目的IP地址。IP数据报的分段和重组功能路由转发功能网际控制报文协议ICMP协议由于IP协议提供的是一种不可靠的和无连接的数据报服务，为了对IP数据报的传送进行差错控制，因此，由ICMP协议对未能完成传送的数据报给出出错的原因，以便源节点对此做出相应的处理。ARP协议与RARP协议ARP：IP网络数据包能够在网络中正常传输，首先需要介质访问控制子层的MAC地址来确定发送的目的MAC地址。因而需要通过ARP协议来动态发现对方主机的48位二进制MAC地址。RARP：是ARP的反向过程，实现的是将主机的MAC地址映射为对应IP地址，通过这种RARP请求方式可以从服务器上获取IP地址。TCP协议与UDP协议TCP是建立在IP提供的基础服务上，支持面向连接的、可靠的数据传输服务。TCP还具有确认与重传机制、差错控制和流量控制等功能，以确保报文段传送的顺序和传输无错，即实现了TCP的三次握手协议。常见默认端口：Telnet服务端口23；Web服务端口80；SMTP服务端口25；POP3服务端口110；FTP服务端口21和20。UDP协议直接利用IP协议来传送报文，没有繁琐的顺序控制、差错控制和流量控制等功能，因而它的服务和IP协议一样是无连接的和不可靠的服务。通常采用UDP的应用层协议有DNS（端口号53，提供DNS客户端查询域名）；SNMP（端口号161）；TFTP（端口号69）；DHCP服务器（端口号67）等。2022/9/308IP地址结构IP地址是一种层次型地址，它由两个部分组成：网络号和主机号。其中网络号表示互联网络中的某个网络，而同一网络中有许多主机，由主机号区分。因此给出一台主机的IP地址，就可以知道它所处的网络，就是前面所说的位置信息。这与我们到某个单位去找人非常相似，通常先寻找他所在的部门，再到这个部门中找到这个员工。网络号对应于部门，主机号对应员工本人。这种方式定位一个个体是非常方便和迅速的。2022/9/309IP地址分类特殊IP网络ID主机ID作为源地址作为目的地址含 义全0全0允许不允许在本网络上的本主机全0任意允许不允许在网络上的某个主机全1全1不允许允许只在本网络上进行广播任意全1不允许允许对网络ID上的所有主机进行广播私有地址地址类型私有IP地址范围网络个数A类10.0.0.010.255.255.2551B类172.16.0.0172.31.255.25516C类192.168.0.0192.168.255.255256子网划分IP地址使用的子网划分，是将一个大的主类网络划分成若干个小的子网网络。当不进行子网划分时，网络中只能使用A类、B类和C类三种网络的主类地址。通常我们可以根据IP地址第一个十进制数位的值，即可判断它属于A、B和C中的哪一个主类网络地址，进而可确定该IP地址的网络ID和主机ID，不需要子网掩码。子网掩码子网掩码也是一组32位的二进制数组成，形式上与IP地址一样。默认子网掩码 A、B、C三类网络都有一个默认子网掩码（即标准子网掩码），如下描述：A类默认子网掩码：255.0.0.0B类默认子网掩码：255.255.0.0C类默认子网掩码：255.255.255.0非标准子网掩码 2022/9/3014可变长子网掩码VLSMVLSM（Variable Length Subnet Mask,可变长子网掩码），这是一种产生不同大小子网的网络分配机制，是指对同一个主网络在不同的位置使用不同的子网掩码。VLSM将允许给点到点的链路分配子网掩码255.255.255.252，而给Ethernet网络分配255.255.255.0。VLSM技术对高效分配IP地址（较少浪费）以及减少路由表大小都起到非常重要的作用。但是需要注意的是使用VLSM时，所采用的路由协议必须能够支持它，这些路由协议包括RIP2，OSPF和BGP等。无类域间路由无类域间路由（Classless Inter-Domain Routing，CIDR），是为了解决IP地址空间即将耗尽的问题。CIDR的基本思想是取消地址的分类结构，即不使用传统的有类网络地址的概念，不再区分A、B、C类网络地址，而是将IP网络地址空间看成是一个整体，并划分成连续的地址块。然后，采用分块的方法进行分配。在CIDR技术中，常使用子网掩码中表示网络ID号的二进制位长度来区分一个网络地址块的大小，称为CIDR前缀。如IP地址192.168.1.0，子网掩码255.255.255.0可表示成192.168.1.0/24；IP地址172.16.21.0，子网掩码255.255.0.0可表示成172.16.21.0/16；IP地址192.168.1.193，子网掩码255.255.255.252可表示192.168.1.193/30。IPv6IPv6技术简介 目前，IPv6是能够无限制地增加IP网址数量、拥有巨大网址空间和卓越网络安全性能等特点的新一代互联网协议。地址空间巨大：扩大到128位。地址层次丰富分配合理：骨干网的ISP-中小ISP-用户。实现IP层网络安全：IPv6要求强制实施IPSec安全协议。无状态自动配置，IPv6通过邻居发现机制能为主机自动配置接口地址和缺省路由器信息。Qos考虑：新增加了流标记域，解决Qos问题。IPv6的地址格式IPv6地址长度为128位的二进制数，采用十六进制表示，其中的每16位组成一个字段，共8个字段，每一个字段之间使用“:”（冒号）分开。通常，IPv6可以有三种格式表示IPv6地址，首选的 IPv6 地址表示为：XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX 其中每个X 是代表一个十六进制数字。IPv6 地址范围如下：从0000:0000:0000:0000:0000:0000:0000:0000 至 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffffIPv6单播、组播、泛播地址IPv6地址有三种类型：单播、组播和泛播。描述如下：单播：一个主机或网络设备接口的标识符。组播：一组接口(一般属于不同节点)的标识符。泛播：一组接口(一般属于不同节点)的标识符。泛播地址与组播地址类似，同样是多个节点共享一个泛播地址，不同的是，只有一个节点期待接收给泛播地址的数据报。2022/9/3019r 路由器的硬件每个公司所生产各种类型的路由器产品，尽管这些产品在处理能力和所支持的接口数上有所不同，但它们都使用一些核心的硬件部件。后面的图展示了路由器的关键部件，其C P U（或微处理器）的类型、R O M与R A M的大小，以及I/O端口的数目和介质转换器根据产品的不同各有相应的变化，但每一个路由器都有图中所示的各个硬部件。通过分析各硬部件的功能，我们就能了解路由器整体上的工作方式及其所提供的功能。2022/9/3020C P U:中央处理单元或者称为微处理器，负责执行组成路由器操作系统（中央处理单元或者称为微处理器，负责执行组成路由器操作系统（O S）的指令，以及执行通过控制台（）的指令，以及执行通过控制台（C o n s o l e）和）和Te l n e t连接输入连接输入的用户命令。因此，的用户命令。因此，C P U的处理能力与路由器的处理能力直接相关。的处理能力与路由器的处理能力直接相关。闪存（闪存（Flash Memory）:是一种可擦写的、可编程类型的是一种可擦写的、可编程类型的R O M。在许多路由。在许多路由器上，器上，F l a s h M e m o r y作为一种选择性的硬部件，负责保存作为一种选择性的硬部件，负责保存O S的映像的映像（image）和路由器的微码（）和路由器的微码（microcode）。因为修改）。因为修改Flash Memory无需更换无需更换和移动芯片，在要定期修改存储内容的情况下，其代价低，且使用方便。用户和移动芯片，在要定期修改存储内容的情况下，其代价低，且使用方便。用户可以在可以在Flash Memory中存储多个中存储多个O S的映像，只要空间允许。这项功能对于测的映像，只要空间允许。这项功能对于测试新的映像十分有用。路由器的试新的映像十分有用。路由器的Flash Memory还能通过使用普通文件传输协还能通过使用普通文件传输协议（议（trival file transfer protocol，TFTP）将）将O S的映像加载到另一个路由器上。的映像加载到另一个路由器上。ROM:ROM:只只读读存存储储器器,其其中中所所包包含含的的代代码码执执行行加加电电检检测测，这这一一点点与与许许多多P P C C所所执执行行的的加加电电自自检检（Power Power On On Self Self-TestTest，POSTPOST）是是相相同同的的。ROMROM中中的的启启动动程程序序还还负负责责加加载载OSOS软软件件。尽尽管管许许多多路路由由器器需需要要软软件件升升级级时时，只只能能通通过过更更换换路路由由器器系系统统板板上上的的ROMROM芯芯片片才才能能做做到到，但但另另一一些些路路由由器器可可能能使使用用不不同同类类型型的的存存储储方方式式来来保保存存OSOS。RAM:RAM:随随机机存存取取存存储储器器,用用来来保保存存路路由由表表，进进行行报报文文缓缓存存等等，在在许许多多流流量量流流向向一一个个通通用用接接口口时时，报报文文可可能能不不能能直直接接输输出出到到接接口口，此此时时RAM可可以以提提供供报报文文排排队队所所需需的的空空间间。在在设设备备操操作作期期间间，RAM还还能能提提供供保保存存路路由由器器配配置置文文件件所所需需的的存存储空间。路由器关电时，储空间。路由器关电时，RAM中的内容被清除。中的内容被清除。非易失的RAM（Nonvolatile RAM，NVRAM）在路由器关电时，仍能保持其内容。通过在NVRAM中保存配置文件的一个拷贝，路由器在电源故障时可以快速地恢复。使用NVRAM后，路由器就不再需要硬盘或软盘来保存其配置文件了。因此，在Cisco路由器中没有移动部件，从而增强了各部件的使用寿命。输入输入/输出（输出（Input/OutputInput/Output，I/OI/O）端口是报文进出路由器的连接装置。每一个）端口是报文进出路由器的连接装置。每一个I/OI/O端口都连到一个特定介质转换器（端口都连到一个特定介质转换器（Media-Specific Converter,MSCMedia-Specific Converter,MSC）上，）上，MSCMSC提供物理接口到特定类型介质，如以太网、令牌环网等。提供物理接口到特定类型介质，如以太网、令牌环网等。2022/9/3021路由器的软件路由器有两个关键的软部件：操作系统映像和配置文件.操作系统映像由启动装载程序定位，这基于对配置寄存器的设置。映像被定位之后，将被加载到内存中的低地址部分。操作系统映像包括一系列的例程,，这些例程支持在设备之间传输数据、管理各种网络功能、修改路由表，以及执行用户命令等。配置文件由路由器管理员创建，所包含的语句被操作系统用来执行各种OS功能。例如，在配置文件中，可以用语句定义一个或多个访问表，并告诉操作系统将不同的访问表应用于不同的接口上，以提供对流经路由器的报文以一定程度的控制。虽然配置文件中定义了影响路由器操作的各个功能，但实际执行这些操作的还是操作系统。操作系统翻译并执行配置文件中的语句。2022/9/3022路由器外观及接口2500 RouterAUI端口是用来与粗同轴电缆连接的接口，它是一种端口是用来与