中文名稱:
網關
英文名稱:
gateway;gw
定義:
在采用不同體系結構或協定的網絡之間進行互通時,用于提供協定轉換、路由選擇、資料交換等網絡相容功能的設施。
所屬學科:
通信科技(一級學科);通信網絡(二級學科)
本内容由全國科學技術名詞審定委員會審定公布
百科名片
網關工作原理圖
網關(gateway)又稱網間連接配接器、協定轉換器。網關在傳輸層上以實作網絡互連,是最複雜的網絡互連裝置,僅用于兩個高層協定不同的網絡互連。網關既可以用于廣域網互連,也可以用于區域網路互連。 網關是一種充當轉換重任的計算機系統或裝置。在使用不同的通信協定、資料格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋隻是簡單地傳達資訊不同,網關對收到的資訊要重新打包,以适應目的系統的需求。同時,網關也可以提供過濾和安全功能。大多數網關運作在osi 7層協定的頂層--應用層。
目錄
概念詳解
預設網關
作用及工作流程
目前各類網關協定的差別
網關協定(ggp)
外部網關協定(egp)
内部網關協定(igp)
類型
傳輸網關
應用網關
解決跨網關技術
産品選用指南
施工、安裝要點
内部網關協定rip
協定的局限性:
rip的限制
配置
分析
說明
内部網關協定ospf
鍊路狀态
區域
ospf網絡類型
指派路由器
ospf分層路由的思想
ospf中的四種路由器
外部網關協定bgp
egp有三大功能
egp封包類型描述
展開
大家都知道,從一個房間走到另一個房間,必然要經過一扇門。同樣,從一個網絡向另一個網絡發送信
息,也必須經過一道“關口”,這道關口就是網關。顧名思義,網關(gateway)就是一個網絡連接配接到另一個網絡的“關口”。
在osi中,網關有兩種:一種是面向連接配接的網關,一種是無連接配接的網關。當兩個子網之間有一定距離時,往往将一個網關分成兩半,中間用一條鍊路連接配接起來,我們稱之為半網關。
按照不同的分類标準,網關也有很多種。tcp/ip協定裡的網關是最常用的,在這裡我們所講的“網關”均指tcp/ip協定下的網關。
那麼網關到底是什麼呢?網關實質上是一個網絡通向其他網絡的ip位址。比如有網絡a和網絡b,網絡a的ip位址範圍為“192.168.1.1~192. 168.1.254”,子網路遮罩為255.255.255.0;網絡b的ip位址範圍為“192.168.2.1~192.168.2.254”,子網路遮罩為255.255.255.0。在沒有路由器的情況下,兩個網絡之間是不能進行tcp/ip通信的,即使是兩個網絡連接配接在同一台交換機(或集線器) 上,tcp/ip協定也會根據子網路遮罩(255.255.255.0)判定兩個網絡中的主機處在不同的網絡裡。而要實作這兩個網絡之間的通信,則必須通過網關。如果網絡a中的主機發現資料包的目的主機不在本地網絡中,就把資料包轉發給它自己的網關,再由網關轉發給網絡b的網關,網絡b的網關再轉發給網絡b 的某個主機(如附圖所示)。網絡b向網絡a轉發資料包的過程。
是以說,隻有設定好網關的ip位址,tcp/ip協定才能實作不同網絡之間的互相通信。那麼這個ip位址是哪台機器的ip位址呢?網關的ip位址是具有路由功能的裝置的ip位址,具有路由功能的裝置有路由器、啟用了路由協定的伺服器(實質上相當于一台路由器)、代理伺服器(也相當于一台路由器)。
在和 novell netware 網絡互動操作的上下文中,網關在 windows 網絡中使用的伺服器資訊塊 (smb) 協定以及 netware 網絡使用的 netware 核心協定 (ncp) 之間起着橋梁的作用。網關也被稱為 ip 路由器。
如果搞清了什麼是網關,預設網關也就好了解了。就好像一個房間可以有多扇門一樣,一台主機可以有多個網關。預設網關的意思是一台主機如果找不到可用的網關,就把資料包發給預設指定的網關,由這個網關來處理資料包。現在主機使用的網關,一般指的是預設網關。
假設你的名字叫小不點,你住在一個大院子裡,你的鄰居有很多小夥伴,在門口傳達室還有個看大門的
李大爺,李大爺就是你的網關。當你想跟院子裡的某個小夥伴玩,隻要你在院子裡大喊一聲他的名字,他聽到了就會回應你,并且跑出來跟你玩。
但是你不被允許走出大門,你想與外界發生的一切聯系,都必須由門口的李大爺(網關)用電話幫助你聯系。假如你想找你的同學小明聊天,小明家住在很遠的另外一個院子裡,他家的院子裡也有一個看門的王大爺(小明的網關)。但是你不知道小明家的電話号碼,不過你的班主任老師有一份你們班全體同學的名單和電話号碼對照表,你的老師就是你的dns伺服器。于是你在家裡撥通了門口李大爺的電話,有了下面的對話:
小不點:李大爺,我想找班主任查一下小明的電話号碼行嗎?
李大爺:好,你等着。(接着李大爺給你的班主任挂了一個電話,問清楚了小明的電話)問到了,他家的号碼是211.99.99.99
小不點:太好了!李大爺,我想找小明,你再幫我聯系一下小明吧。
李大爺:沒問題。(接着李大爺向電話局發出了請求接通小明家電話的請求,最後一關當然是被轉接到了小明家那個院子的王大爺那裡,然後王大爺把電話給轉到小明家)
就這樣你和小明取得了聯系。
核心網關為了正确和高效地路由封包需要知道internet其他部分發生的情況,包括路由資訊和子網特性。
當一個網關處理重負載而使速度特别慢,并且這個網關是通路子網的惟一途徑時,通常使用這種類型的資訊,網絡中的其他網關能剪裁交通流量以減輕網關的負載。
ggp主要用于交換路由資訊,不要混淆路由資訊(包括位址、拓撲和路由延遲細節)和作出路由決定的算法。路由算法在網關内通 常是固定的且不被ggp改變。核心網關之間通過發送ggp資訊,并等待應答來通信,之後如果收到含特定資訊的應答就更新路由表。
注意ggp的最新改進spread已經用于internet,但它還不如ggp普及。ggp被稱為向量-距離協定。要想有效工作,網關必須含有網際網路絡上有關所有網關的完整資訊。否則,計算到一個目的地的有效路由将是不可能的。因為這個原因,所有的核心網關維護一張internet上所有核心網關的清單。這是一個相當小的表,網關能容易地對其進行處理。
外部網關協定用于在非核心的相鄰網關之間傳輸資訊。非核心網關包含網際網路絡上所有與其直接相鄰的網關的路由資訊及其所連機器資訊,但是它們不包含 internet上其他網關的資訊。對絕大多數egp而言,隻限制維護其服務的區域網路或廣域網資訊。這樣可以防止過多的路由資訊在區域網路或廣域網之間傳輸。egp強制在非核心網關之間交流路由資訊。
由于核心網關使用ggp,非核心網關使用egp,而二者都應用在internet上,是以必須有某些方法使二者彼此之間能夠通信。internet使任何自治(非核心)網關給其他系統發送“可達”資訊,這些資訊至少要送到一個核心網關。如果有一個更大的自治網絡,常常認為有一個網關來處理這些可達資訊。
和ggp一樣,egp使用一個查詢過程來讓網關清楚它的相鄰網關并不斷地與其相鄰者交換路由和狀态資訊。egp是狀态驅動的協定,意思是說它依賴于一個反映網關情況的狀态表和一組當狀态表項變化時必須執行的一組操作。
有幾種内部網關協定可用,最流行的是rip和hello,另一個協定稱為開放式最短路徑優先協定(ospf),這些協定沒有一個是占主導地位的,但是rip可能是最常見的igp協定。選擇特定的igp以網絡體系結構為基礎。rip和hello協定都是計算到目的地的距離,它們的消息包括機器辨別和到機器的距離。
一般來講,由于它們的路由表包含很多項,是以消息比較長。rip和hello一直維護相鄰網關之間的連接配接性以確定機器是活躍的。路由資訊協定使用廣播技術。意思是說網關每隔一定時間要把路由表廣播給其他網關。這也是rip的一個問題,因為這會增加網絡流量,降低網絡性能。hello協定與rip的不同之處在于hello使用時間而不是距離作為路由因素。這要求網關對每條路由有合理的準确時間資訊。由于這個原因,是以hello協定依賴于時鐘同步消息。
開放式最短路徑優先協定是由internet工程任務組開發的協定,希望它能成為居于主導地位的igp。用“最短路徑”來描述協定的路由過程不準确。更好一些的名字是“最優路徑”, 這其中要考慮許多因素來決定到達目的地的最佳路由。
傳輸網關用于在2個網絡間建立傳輸連接配接。利用傳輸網關,不同網絡上的主機間可以建立起跨越多個網絡的
、級聯的、點對點的傳輸連接配接。例如通常使用的路由器就是傳輸網關,“網關”的作用展現在連接配接兩個不同的網段,或者是兩個不同的路由協定之間的連接配接,如rip,eigrp,ospf,bgp等。
應用網關在應用層上進行協定轉換。例如,一個主機執行的是iso電子郵件标準,另一個主機執行的是internet 電子郵件标準,如果這兩個主機需要交換電子郵件,那麼必須經過一個電子郵件網關進行協定轉換,這個電子郵件網關是一個應用網關。再例如,在和 novell netware 網絡互動操作的上下文中,網關在 windows 網絡中使用的伺服器資訊塊 (smb) 協定以及 netware 網絡使用的 netware 核心協定 (ncp) 之間起着橋梁的作用。ncp是工作在osi第七層的協定,用以控制客戶站和伺服器間的互動作用,主要完成不同方式下檔案的打開、關閉、讀取功能。
現在的網關産品分類越來越細了,有信令網關,中繼網關,還有接入網關:
信令網關sg,主要完成7号信令網與ip網之間信令消息的中繼,在3g初期,對于完成接入側到核心網交換之間的消息的轉接(3g之間的ranap消息,3g與2g之間的bssap消息),另外還能完成2g的msc/gmsc與軟交換機之間isup消息的轉接。
中繼網關又叫ip網關,同時滿足電信營運商和企業需求的voip裝置。中繼網關(ip網關)由基于中繼闆和媒體網關闆建構,單闆最多可以提供128路媒體轉換,兩個以太網口,機框采用業界領先的cpci标準,擴容友善具有高穩定性、高可靠性、高密度、容量大等特點.
接入網關是基于ip的語音/傳真業務的媒體接入網關,提供高效、高品質的話音服務,為營運商、企業、小區、住宅使用者等提供voip解決方案。
除此之外,網關還可以分為:協定網關、應用網關和安全網關
協定網關
協定網關通常在使用不同協定的網絡區域間做協定轉換。這一轉換過程可以發生在osi參考模型的第2層、第3層或2、3層之間。 但是有兩種協定網關不提供轉換的功能:安全網關和管道。由于兩個互連的網絡區域的邏輯差異, 安全網關是兩個技術上相似的網絡區域間的必要中介。如私有廣域網和公有的網際網路。
應用網關是在使用不同資料格式間翻譯資料的系統。典型的應用網關接收一種格式的輸入,将之翻譯, 然後以新的格式發送。輸入和輸出接口可以是分立的也可以使用同一網絡連接配接。
應用網關也可以用于将區域網路客戶機與外部資料源相連,這種網關為本地主機提供了與遠端互動式應用
的連接配接。 将應用的邏輯和執行代碼置于區域網路中用戶端避免了低帶寬、高延遲的廣域網的缺點,這就使得用戶端的響應時間更短。 應用網關将請求發送給相應的計算機,擷取資料,如果需要就把資料格式轉換成客戶機所要求的格式。
安全網關
安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其範圍從協定級過濾到十分複雜的應用級過濾。
網關(gateway)又稱網間連接配接器、協定轉換器。網關在傳輸層上以實作網絡互連,是最複雜的網絡互連裝置,僅用于兩個高層協定不同的網絡互連。網關的結構也和路由器類似,不同的是互連層。網關既可以用于廣域網互連,也可以用于區域網路互連。 可以說,網關是一種充當轉換重任的計算機系統或裝置。在使用不同的通信協定、資料格式或語言,甚至體系結構完全不同的兩種系統之間,網關是一個翻譯器。與網橋隻是簡單地傳達資訊不同,網關對收到的資訊要重新打包,以适應目的系統的需求。同時,網關也可以提供過濾和安全功能。大多數網關運作在osi 7層協定的頂層——應用層。
現行的ipv4的ip位址是32位的,根據頭幾位再劃分為a、b、c三類位址;但由于internet的迅猛發展,ip資源日漸枯竭,可供配置設定的ip地越來越少,跟一日千裡的internet發展嚴重沖突,在ipv6還遠未能全面更新的情況下,惟有以代理伺服器的方式,實行内部網位址跟公網位址進行轉化而實作接入internet。
中介作用的代理伺服器就是一個網關,也就是這個網關帶給現階段的多媒體通訊系統無盡的煩惱。在ip資源可憐的情況下,惟有以網關甚至多層網關的方式接入寬帶網, 因為多媒體通訊系統的協定如h.323等要進行業務的雙方必須有一方有公網的ip位址,但是現在的寬帶有幾個使用者能符合這個要求?microsoft的netmeeting等等多媒體通訊系統就是處于這種尴尬的位置;跨網關成為頭疼的難題。
跨網關: 網絡資料通過層層網關,受制于網關節點速度,網絡速度大大降低。 跨網關技術基于底層網絡協定,突破網關瓶頸,實作客戶點對點交流。
網關的主要功能:網關(gateway)又稱網間連接配接器、協定轉換器。網關在傳輸層上以實作網絡互連,是最
複雜的網絡互連裝置,僅用于兩個高層協定不同的網絡互連。網關的結構也和路由器類似,不同的是互連層。網關既可以用于廣域網互連,也可以用于區域網路互連。
網關主要規格及參數:
安全網關主要接口類型: rj45主要接口數目: 3口。
主要參數:支援協定: tcp/ip協定,icmp協定,ripv2協定,靜态路由協定,動态路由協定,pap協定,chap協定,nat協定,pppoe協定,250k個并發會話數,建立會話數7k/秒,防火牆性能120mbps,40g硬碟,100條vpn隧道數,3des加密性能30mbps,病毒郵件掃描25000封 /小時,垃圾郵件15000封/小時,http稍描1mb/s; 内置防火牆。
網關選用要點及訂貨主要技術條件
網關是将兩個使用不同協定的網絡段連接配接在一起的裝置。它的作用就是對兩個網絡段中的使用傳輸協定的資料進行互相的翻譯轉換。比如:一個企業内部區域網路就常常需要通過網關發送電子郵件到internet的相關位址。
1) 網關具有高可擴充性
2) 網關能夠多協定支援,,能夠對smtp、http、ftp和pop3通信進行掃描,對網絡和使用者應有的保護功能。
3) 網關能透明的聯機掃描,儲存諸如源ip和mac位址等資訊。透明掃描選項在易于安裝的同時,還可以讓您對内部web伺服器進行保護。
4) 網關能夠進行内容管理,防止使用者接收或發送帶有某種類型附件的郵件、容量過大的郵件或帶有過多、過大附件的郵件。
5) 檢測垃圾郵件與反中繼。
6) 網關訂貨主要技術條件能滿足不同通信協定的網絡互連,使檔案可以在這些網絡之間傳輸,阻止黑客入侵、檢查病毒、身份認證與權限檢查等很多安全功能,需要vpn完成或在同vpn與相關産品協同完成。
7) 主機房的網關選擇規格尺寸要能安裝在主機櫃中。
具體施工做法參見國家建築标準設計圖集《智能家居控制系統施工圖集 03x602》及國際标準規範 《eia/tia569 商務樓通信通道和空間标準》。
rip協定的全稱是路由資訊協定,它是一種内部網關協定(igp)用于一個自治系統(as)内的路由資訊的傳遞。rip協定是基于距離矢量算法的,它使用“跳數”,即metric來衡量到達目标位址的路由距離。協定中規定,一條有效的路由資訊的度量(metric)不能超過15,這就使得該協定不能應用于很大型的網絡,應該說正是由于設計者考慮到該協定隻适合于小型網絡是以才進行了這一限制。對于metric為16的目标網絡來說,即認為其不可到達。
該路由協定應用到實際中時,很容易出現“計數到無窮大”的現象,這使得路由收斂很慢,在網絡拓撲結構
變化以後需要很長時間路由資訊才能穩定下來。該協定以跳數,即封包經過的路由器個數為衡量标準,并以此來選擇路由,這一措施欠合理性,因為沒有考慮網絡延時,可靠性,線路負荷等因素對傳輸品質與速度的影響。rip協定的實作:rip根據v-d算法的特點,将協定的參加者分為主動機和被動機兩種。主動機主動向外廣播路由重新整理封包,被動機被動地接收路由重新整理封包。一般情況下,主機作為被動機,路由器則既是主動機又是被動機,即在向外廣播路由重新整理封包的同時,接受來自其它主動機的v-d封包,并進行路由重新整理。rip規定,路由器每30秒向外廣播一個v-d封包,封包資訊來自本地路由表。rip的v-d封包中,其距離以驿站計:與信宿網絡直接相連的路由器規定為一個驿站,相隔一個路由器則為兩個驿站……以此類推。一條路由的距離為該路由(從信源機到信宿機)上的路由器數。為防止尋徑環長期存在,rip規定,長度為16的路由為無限長路由,即不存在的路由。是以一條有效的路由長度不得超過15。正是這一規定限制了rip的使用範圍,使rip局限于中小型的網絡網點中。為了保證路由的及時有效性,rip采用觸發重新整理技術和水準分割法。當本地路由表發生修改時,觸發廣播路由重新整理封包,以迅速達到最新路由的廣播和全局路由的有效。水準分割法是指當路由器從某個網絡接口發送rip路由重新整理封包時,其中不包含從該接口擷取的路由資訊。這是由于從某網絡接口擷取的路由資訊對于該接口來說是無用資訊,同時也解決了兩路由器間的慢收斂問題。對于區域網路的路由,rip規定了路由的逾時處理。主要是考慮到這樣一個情況,如果完全根據v-d算法,一條路由被重新整理是因為出現一條路由開銷更小的路由,否則路由會在路由表中一直儲存下去,即使該路由崩潰。這勢必造成一定的錯誤路由資訊。為此,rip規定,所有機器對其尋徑表中的每一條路由都設定一個時鐘,每增加一條新路由,相應設定一個新時鐘。在收到的v-d封包中假如有關于此路由的表目,則将時鐘清零,重新計時。假如在120秒内一直未收到該路由
的重新整理資訊,則認為該路由崩潰,将其距離設為16,廣播該路由資訊。如果再過60後仍未收到該路由的重新整理資訊,則将它從路由表中删除。如果某路由在距離被設為16後,在被删除前路由被重新整理,亦将時鐘清零,重新計時,同時廣播被重新整理的路由資訊。至于路由被删除後是否有新的路由來代替被删除路由,取決于去往原路由所指信宿有無其它路由。假如有,相應路由器會廣播之。機器一旦收到其它路由的資訊,自然會利用v-d算法建立一條新路由。否則,去往原信宿的路由不再存在。 rip啟動和運作的整個過程如下所描述:某路由器剛啟動rip時,以廣播的形式向相鄰路由器發送請求封包,相鄰路由器的rip收到請求封包後,響應請求,回發包含本地路由表資訊的響應封包。rip收到響應封包後,修改本地路由表的資訊,同時以觸發修改的形式向相鄰路由器廣播本地路由修改資訊。相鄰路由器收到觸發修改封包後,又向其各自的相鄰路由器發送觸發修改封包。在一連串的觸發修改廣播後,各路由器的路由都得到修改并保持最新資訊。同時,rip每 30秒向相鄰路由器廣播本地路由表,各相鄰路由器的rip在收到路由封包後,對本地路由進行的維護,在衆多路由中選擇一條最佳路由,并向各自的相鄰網廣播路由修改資訊,使路由達到全局的有效。同時rip采取一種逾時機制對過時的路由進行逾時處理,以保證路由的實時性和有效性。rip作為内部路由器協定,正是通過這種封包交換的方式,提供路由器了解本自治系統内部個網絡路由資訊的機制。rip-2支援版本1和版本2兩種版本的封包格式。在版本2中,rip還提供了對子網的支援和提供認證封包形式。版本2的封包提供子網路遮罩域,來提供對子網的支援;另外,當封包中的路由項位址域值為0xffff時,預設該路由項的剩餘部分為認證。rip2對撥号網的支援則是參考需求rip和觸發rip的形式經修改而加入的新功能。這時,我們隻是要求在撥号網撥通之後對路由進行30秒一次的廣播,而在沒撥通時并不作如是要求,這是根據具體情況變通的結果。
雖然rip有很長的曆史,但它還是有自身的限制。它非常适合于為早期的網絡互聯計算路由;然而,技術進步已極大地改變了網際網路絡。建造和使用的方式。是以,rip會很快被今天的網際網路絡所淘汰。rip的一些最大限制是:
·不能支援長于15跳的路徑。
·依賴于固定的度量來計算路由。
·對路由更新反應強烈。
·相對慢的收斂。
·缺乏動态負均衡支援。 rip協定配置:rip(routinginformationprotocol)是應用較早、使用較普遍的内部網關協定(interiorgatewayprotocol,簡稱igp),适用于小型同類網絡,是典型的距離向量(distance- vector)協定。文檔見rfc1058、rfc1723。rip通過廣播udp封包來交換路由資訊,每30秒發送一次路由資訊更新。rip提供跳躍計數(hopcount)作為尺度來衡量路由距離,跳躍計數是一個包到達目标所必須經過的路由器的數目。如果到相同目标有二個不等速或不同帶寬的路由器,但跳躍計數相同,則rip認為兩個路由是等距離的。rip最多支援的跳數為15,即在源和目的網間所要經過的最多路由器的數目為15,跳數16表示不可達。
1、有關指令
--------------------------------------------
任務指令
指定使用rip協定routerrip
指定rip版本version{1|2}1
指定與該路由器相連的網絡networknetwork
---------------------------------------------
注:1、cisco的rip版本2支援驗證、密鑰管理、路由彙總、無類域間路由(cidr)和變長子網路遮罩(vlsms)
2、舉例
router1:
routerripversion2network192.200.10.0network192.20.10.0!相關調試指令:showipprotocol
showiproute在全局設定模式下:1.啟動rip路由routerrip2.設定參與rip路由的子網network子網位址3.允許在非廣播型網絡中進行rip路由廣播neighbor相鄰路由器相鄰端口的ip位址4.設定rip的版本rip路由協定有2個版本,在與其它廠商路由器相連時,注意版本要一緻,預設狀态下,cisco路由器接收rip版本1和2的路由資訊,但隻發送版本1的路由資訊,設定rip的版本vesion1或2。另外,還可以控制特定端口發送或接收特定版本的路由資訊。1.隻在特定端口發版本1或2的資訊,在端口設定模式下ripsendversion1或22.同時發送版本1和2的資訊 ipripsendreceive1or23.在特定端口接受版本1或2的路由資訊ipripreceive1or24.同時接受版本1和2的路由資訊 ipripreceive1or2選擇路由協定幾點建議:1.在大型網絡中,建議使用ospf、eigrp。2.如果網絡中含有變長了網掩碼(vism)不能使用igrp,rip版本1,可以使用rip版本 2,ospf,eigrp或靜态路由。3.如果使用路由安全設定可以使用rip版本1或ospf。4.選用ospf,eigrp在系統穩定後所占帶寬比 rip,igrp少得多,igrp比rip所占帶寬也少。5.綜合使用動态路由,靜态路由,預設路由,以保證路由的備援。6.在撥号線路上盡量使用靜态路由,以節省費用。7.在小型網絡上資料量不大的情況下,且不需要高可性,廣域網線路為x.25svc時,建議用靜态路由。
rip配置事例:1、在下面的網絡裡,有三台路由器,所有的路由器都運作rip協定,僅要實作三台路由器互通
joe(config)#routerrip
joe(config-router-rip)#network192.168.0.0/24
joe(config-router-rip)#network192.168.1.0/24 hamer(config)#routerrip
hamer(config-router-rip)#network192.168.1.0/24
hamer(config-router-rip)#network133.81.1.0/24
tom(config)#routerrip
tom(config-router-rip)#network192.168.1.0/24
tom(config-router-rip)#network133.81.2.0/24
2、在下面的網絡裡,有三台路由器,所有的路由器都運作rip協定,要實作:
(1)ros的e0端口接收hata和bito發來的路由更新封包。
(2)ros在e0發送的更新封包僅發送給bito。配置:
ros的配置如下:
ros(config)#routerrip
ros(config-router-rip)#network192.168.1.0/24
ros(config-router-rip)#network10.8.11.0/24
ros(config-router-rip)#passive-interfaceeth0/0
ros(config-router-rip)#neighbor192.168.1.35
bito的配置如下:
bito(config)#routerrip
bito(config-router-rip)#network192.168.1.0/24
bito(config-router-rip)#network137.1.1.3/24
hata的配置如下:
hata(config)#routerrip
hata(config-router-rip)#network192.168.1.0/24
3、如下圖所示:有三台路由器,melu和haha現在正常運作,現要添加一台名稱為toba的hos路由器使toba和haha互相聯通,并且不能破壞現在melu和haha的運作狀态。
已知melu和haha運作的協定為:
(1)haha上運作的是ripv1,無認證配置。
(2)melu上運作的是ripv2,無認證配置。
hos預設值是,rip發送版本1,接收版本1和版本2的update封包。這樣我們隻要在toba上運作起rip,并且指定192.168.0.1/24為rip活動網絡範圍,toba就可以和haha建立聯通了。由于melu運作的版本為ripv2,隻要讓toba發送ripv2封包就可以了。
因而,toba可以配置為:
toba(config)#routerrip
toba(config-router-rip)#network192.168.0.0/24
toba(config-router-rip)#network10.8.11.0/24
toba(config-router-rip)#exit
toba(config)#interfaceeth0/0
toba(config-if-eth0/0)#ipripsendversion2 4、如下圖所示:有兩台hos路由器,現在要求實作wed和hax聯通并且要有md5認證。
分析:
有認證的情況下實作兩台路由器的互聯,這兩台路由器必須配置相同的認證方式和密鑰才能進行雙方的路由的交換,值得注意的是雙方必須發送版本2
hax(config)#keychainwan
hax(config-keychain)#key1
hax(config-keychain-key)#key-stringwan
hax(config-keychain-key)#exit
hax(config-keychain)#exit
hax(config)#interfaceeth0/0
hax(config-if-eth0/0)#ipripauthenticationkey-chainwan
hax(config-if-eth0/0)#ipripauthenticationmodemd5
hax(config-if-eth0/0)#ipripsendversion2
hax(config-if-eth0/0)#ipripreceiveversion2
5、監視和維護rip
上面的清單顯示了rip路由表的詳細資訊。第一列顯示的是每條路由來自哪種方式。如:rip表示是本路由從其它路由器學習到的路由,connect表示該路由是直連路由。第二列的network指定了該路由目标位址範圍。第三列nexthop是本路由的下一條位址。第四列metric是本路由的路徑成本。第五列from标明本路由來自何處。第六列time用來顯示目前定時器的已經定時時間長度,當路由沒有過期的時候,顯示的是無效定時時間長度,當路由過期時,顯示的是删除定時器的時間長度。
ospf(openshortestpathfirst)是一個内部網關協定(interiorgatewayprotocol、簡稱igp),用于在單一自治系統(autonomoussystem、as)内決策路由。與rip相對,ospf是鍊路狀态路由協定,而rip是距離向量路由協定。鍊路是路由器接口的另一種說法,是以ospf也稱為接口狀态路由協定。ospf通過路由器之間通告網絡接口的狀态來建立鍊路狀态資料庫,生成最短路徑樹,每個ospf路由器使用這些最短路徑構造路由。内部網關協定(interiorgatewayprotocols,igp)用在一個域中交換路由選擇資訊,如路由選擇資訊協定(rip)和優先開放最短路徑協定(ospf)。ospf是與osi的is-is協定十分相似的内部路由選擇協定。
ospf是功能最強大、特點最豐富的開放式路由協定之一。它的複雜性也是其弱點來源,因為設計、建造和操
作一個ospf網際網路絡需要比使用幾乎每一種其他路由協定更多的專業知識和精力。采用路由耗費的預設值可以極大地簡化ospf網絡設計。随着關于ospf及網絡操作特點知識的增加,使用者能夠慢慢地通過控制ospf變量來優化網絡性能。必須小心地設計區和網絡拓撲。做得好,ospf會使網絡使用者得到優異的性能和快速的收斂速度。bgp用于特大型網絡如internet的核心。
ospf是一種典型的鍊路狀态路由協定。采用ospf的路由器彼此交換并儲存整個網絡的鍊路資訊,進而掌握全網的拓撲結構,獨立計算路由。因為rip路由協定不能服務于大型網絡,是以,ietf的igp工作組特别開發對外連結路狀态協定——ospf。目前廣為使用的是ospf第二版,最新标準為rfc2328。ospf作為一種内部網關協定(interiorgatewayprotocol,igp),用于在同一個自治域(as)中的路由器之間釋出路由資訊。差別于距離矢量協定 (rip),ospf具有支援大型網絡、路由收斂快、占用網絡資源少等優點,在目前應用的路由協定中占有相當重要的地位。
ospf路由器收集其所在網絡區域上各路由器的連接配接狀态資訊,即鍊路狀态資訊(link-state),生成鍊路狀态資料庫(link-statedatabase)。路由器掌握了該區域上所有路由器的鍊路狀态資訊,也就等于了解了整個網絡的拓撲狀況。ospf路由器利用“最短路徑優先算法(shortestpathfirst,spf)”,獨立地計算出到達任意目的地的路由。
ospf協定引入“分層路由”的概念,将網絡分割成一個“主幹”連接配接的一組互相獨立的部分,這些互相獨立的部分被稱為“區域”(area),“主幹”的部分稱為“主幹區域”。每個區域就如同一個獨立的網絡,該區域的ospf路由器隻儲存該區域的鍊路狀态。每個路由器的鍊路狀态資料庫都可以保持合理的大小,路由計算的時間、封包數量都不會過大。
根據路由器所連接配接的實體網絡不同,ospf将網絡劃分為四種類型:廣播多路通路型(broadcastmultiaccess)、非廣播多路通路型(nonebroadcastmultiaccess,nbma)、點到點型(point-to-point)、點到多點型(point-to-multipoint)。廣播多路通路型網絡如:ethernet、tokenring、fddi。nbma型網絡如:framerelay、x.25、smds。point-to-point型網絡如:ppp、hdlc。
(dr)和備份指派路由器(bdr):在多路通路網絡上可能存在多個路由器,為了避免路由器之間建立完全相鄰關系而引起的大量開銷,ospf要求在區域中選舉一個 dr。每個路由器都與之建立完全相鄰關系。dr負責收集所有的鍊路狀态資訊,并釋出給其他路由器。選舉dr的同時也選舉出一個bdr,在dr失效的時候,bdr擔負起dr的職責。點對點型網絡不需要dr,因為隻存在兩個節點,彼此間完全相鄰。協定組成ospf協定由hello協定、交換協定、擴散協定組成。本文僅介紹hello協定,其他兩個協定可參考rfc2328中的具體描述。當路由器開啟一個端口的ospf路由時,将會從這個端口發出一個 hello封包,以後它也将以一定的間隔
周期性地發送hello封包。ospf路由器用hello封包來初始化新的相鄰關系以及确認相鄰的路由器鄰居之間的通信狀态。對廣播型網絡和非廣播型多路通路網絡,路由器使用hello協定選舉出一個dr。在廣播型網絡裡,hello封包使用多點傳播位址224.0.0.5周期性廣播,并通過這個過程自動發現路由器鄰居。在nbma網絡中,dr負責向其他路由器逐一發送hello封包。 第一步:建立路由器的鄰接關系:所謂“鄰接關系”(adjacency)是指ospf路由器以交換路由資訊為目的,在所選擇的相鄰路由器之間建立的一種關系。路由器首先發送擁有自身id資訊(loopback端口或最大的ip位址)的hello封包。與之相鄰的路由器如果收到這個hello封包,就将這個封包内的id資訊加入到自己的hello封包内。如果路由器的某端口收到從其他路由器發送的含有自身id資訊的hello封包,則它根據該端口所在網絡類型确定是否可以建立鄰接關系。在點對點網絡中,路由器将直接和對端路由器建立起鄰接關系,并且該路由器将直接進入到第三步操作:發現其他路由器。若為multiaccess網絡,該路由器将進入選舉步驟。
網關
第二步:選舉dr/bdr:不同類型的網絡選舉dr和bdr的方式不同。multiaccess網絡支援多個路由器,在這種狀況下,ospf需要建立起作為鍊路狀态和lsa更新的中心節點。選舉利用hello封包内的id和優先權(priority)字段值來确定。優先權字段值大小從0到255,優先權值最高的路由器成為dr。如果優先權值大小一樣,則id值最高的路由器選舉為dr,優先權值次高的路由器選舉為bdr。優先權值和id值都可以直接設定。 第三步:發現路由器:在這個步驟中,路由器與路由器之間首先利用hello封包的id資訊确認主從關系,然後主從路由器互相交換部分鍊路狀态資訊。每個路由器對資訊進行分析比較,如果收到的資訊有新的内容,路由器将要求對方發送完整的鍊路狀态資訊。這個狀态完成後,路由器之間建立完全相鄰(fulladjacency)關系,同時鄰接路由器擁有自己獨立的、完整的鍊路狀态資料庫。在multiaccess網絡内,dr與bdr互換資訊,并同時與本子網内其他路由器交換鍊路狀态資訊。point-to-point或point-to-multipoint網絡中,相鄰路由器之間資訊。
第四步:選擇适當的路由器:當一個路由器擁有完整獨立的鍊路狀态資料庫後,它将采用spf算法計算并建立路由表。ospf路由器依據鍊路狀态資料庫的内容,獨立地用spf算法計算出到每一個目的網絡的路徑,并将路徑存入路由表中。ospf利用量度(cost)計算目的路徑,cost最小者即為最短路徑。在配置ospf路由器時可根據實際情況,如鍊路帶寬、時延或經濟上的費用設定鍊路cost大小。cost越小,則該鍊路被選為路由的可能性越大。
第五步:維護路由資訊:當鍊路狀态發生變化時,ospf 通過flooding過程通告網絡上其他路由器。ospf路由器接收到包含有新資訊的鍊路狀态更新封包,将更新自己的鍊路狀态資料庫,然後用spf算法重新計算路由表。在重新計算過程中,路由器繼續使用舊路由表,直到spf完成新的路由表計算。新的鍊路狀态資訊将發送給其他路由器。值得注意的是,即使鍊路狀态沒有發生改變,ospf路由資訊也會自動更新,預設時間為30分鐘。ospf路由器之間使用鍊路狀态通告(lsa) 來交換各自的鍊路狀态資訊,并把獲得的資訊存儲在鍊路狀态資料庫中。各ospf路由器獨立使用spf算法計算到各個目的位址的路由。ospf協定支援分層路由方式,這使得它的擴充能力遠遠超過rip協定。當ospf網絡擴充到100、500甚至上千個路由器時,路由器的鍊路狀态資料庫将記錄成千上萬條鍊路資訊。為了使路由器的運作更快速、更經濟、占用的資源更少,網絡工程師們通常按功能、結構和需要把ospf網絡分割成若幹個區域,并将這些區域和主幹區域根據功能和需要互相連接配接進而達到分層的目的。
ospf把一個大型網絡分割成多個小型網絡的能力被稱為分層路由,這些被分割出來的小型網絡就稱為“區域”(area)。由于區域内部路由器僅與同區域的路由器交換lsa資訊,這樣lsa封包數量及鍊路狀态資訊庫表項都會極大減少,spf計算速度是以得到提高。多區域的ospf必須存在一個主幹區域,主幹區域負責收集非主幹區域發出的彙總路由資訊,并将這些資訊返還給到各區域。ospf區域不能随意劃分,應該合理地選擇區域邊界,使不同區域之間的通信量最小。但在實際應用中區域的劃分往往并不是根據通信模式而是根據地理或政治因素來完成的。
在ospf多區域網絡中,路由器可以按不同的需要同時成為以下四種路由器中的幾種:1、内部路由器:所有端口在同一區域的路由器,維護一個鍊路狀态資料庫。2、主幹路由器:具有連接配接主幹區域端口的路由器。3、區域邊界路由器(abr):具有連接配接多區域端口的路由器,一般作為一個區域的出口。abr為每一個所連接配接的區域建立鍊路狀态資料庫,負責将所連接配接區域的路由摘要資訊發送到主幹區域,而主幹區域上的abr則負責将這些資訊發送到各個區域。4、自治域系統邊界路由器(asbr):至少擁有一個連接配接外部自治域網絡(如非ospf的網絡)端口的路由器,負責将非ospf網絡資訊傳入ospf網絡。 ospf路由器之間交換鍊路狀态公告(lsa)資訊。ospf的lsa中包含連接配接的接口、使用的metric及其他變量資訊。ospf路由器收集連結狀态資訊并使用spf算法來計算到各節點的最短路徑。lsa也有幾種不同功能的封包,在這裡簡單地介紹一下:
lsatype1:由每台路由器為所屬的區域産生的lsa,描述本區域路由器鍊路到該區域的狀态和代價。一個邊界路由器可能産生多個lsatype1。
lsatype2:由dr産生,含有連接配接某個區域路由器的所有鍊路狀态和代價資訊。隻有dr可以監測該資訊。
lsatype3:由abr産生,含有abr與本地内部路由器連接配接資訊,可以描述本區域到主幹區域的鍊路資訊。它通常彙總預設路由而不是傳送彙總的ospf資訊給其他網絡。
lsatype4:由abr産生,由主幹區域發送到其他abr,含有asbr的鍊路資訊,與lsatype3的差別在于type4描述到ospf網絡的外部路由,而type3則描述區域内路由。
lsatype5:由asbr産生,含有關于自治域外的鍊路資訊。除了存根區域和完全存根區域,lsatype5在整個網絡中發送。
lsatype6:多點傳播ospf(mosf),mosf可以讓路由器利用鍊路狀态資料庫的資訊構造用于多點傳播封包的多點傳播釋出樹。
lsatype7:由asbr産生的關于nssa的資訊。lsatype7可以轉換為lsatype5。
編輯本段
兩個交換選路資訊的路由器若分屬兩個自治系統,則被稱為外部鄰站(exteriorneighbors),但它們若同屬一個自治系統,則稱為内部鄰站(interiorneighbors)。外部鄰站使用的向其他自治系統通告可達資訊的協定被稱為外部網關協定egp(exteriorgatewayprotocol),使用該協定的路由器被稱為外部路由器(exteriorrouter)。在internet網中,egp顯得尤為重要,因為與之相連的自治系統使用它向核心系統通告可達資訊。
第一個是它支援鄰居擷取(neighboracquisition)機制,即允許一個路由器請求另一個路由器同意交換可達資訊。我們可以說,一個路由器獲得了(acquire)一個egp對等路由器(egppeer)或一個egp鄰站(egpneighbor)。egp對等路由器僅在交換選路資訊的意義上來說是鄰站,而不論其地理位置是否鄰近。第二,路由器持續地測試其egp鄰站是否能夠響應。第三,egp鄰站周期性地傳送選路更新封包(routingupdatemessage)來交換網絡可達資訊。
外部網關協定用于在非核心的相鄰網關之間傳輸資訊。非核心網關包含網際網路絡上所有與其直接相鄰的網關的路由資訊及其所連機器資訊,但是它們不包含internet上其他網關的資訊。對絕大多數egp而言,隻限制維護其服務的區域網路或廣域網資訊。這樣可以防止過多的路由資訊在區域網路或廣域網之間傳輸。egp強制在非核心網關之間交流路由資訊。
由于核心網關使用ggp,非核心網關使用egp,而二者都應用在internet上,是以必須有某些方法使二者彼此之間能夠通信。internet使任何自治(非核心)網關給其他系統發送“可達”資訊,這些資訊至少要送到一個核心網關。假如有一個更大的自治網絡,經常認為有一個網關來處理這些可達資訊。和ggp一樣,egp使用一個查詢過程來讓網關清楚它的相鄰網關并不斷地與其相鄰者交換路由和狀态資訊。egp是狀态驅動的協定,意思是說它依靠于一個反映網關情況的狀态表和一組當狀态表項變化時必須執行的一組操作。egp封包首部:為了實作上述三個基本功能,egp定義了下表所列的九種封包類型:
acquisitionrequest(擷取請求)請求路由器成為鄰站(對等路由器)
acquisitionconfirm(獲驗證實)對擷取請求的肯定響應
acquisitionrefuse(擷取拒絕)對擷取請求的否定響應
ceaserequest(中止請求)請求中止鄰站關系
ceaseconfirm(中止證明)對中止請求的證明響應
hello(你好)請求鄰站回答是否活躍
iheardyou(我聽見你)對hello封包的回答
pollrequest(輪詢請求)請求更新網絡的選路
routingupdate(選路更新)網絡可達資訊
error(差錯)對不正确封包的響應
所有的egp封包都有固定的首都用于說明封包類型。首部中的版本(version)字段取整數值,指出該封包使用的egp的版本号。接收方檢測版本号以确認雙方使用相同版本的協定。類型(type)字段指出封包的類型,而代碼(code)字段給出了子類型。狀态(status)字段包含了與本封包有關的狀态資訊。egp使用校驗和字段來确認封包的正确到達。其算法與ip的校驗和算法相同。它把整個egp封包當做16比特整數的序列,使用各個整數的二進制反碼和的二進制反碼作為校驗和。計算校驗和之前把校驗和(checksum)字段初始化為零,通過填充0來把封包長度變為16比特的整數倍。自治系統号(autonomoussystemnum)字段給出了表示發送該封包的路由器所在的自治系統的編号,而序号(sequencenumber)用于收發雙方進行聯系。路由器請求鄰站時賦一個初始序号,以後每次發送封包時将序号增加。鄰站回送最近收到的序号值,發送友善用這個回送值與發送時的值作一比較來確定封包的正确性。