1、路由协议概念n自治系统(AS)自治系统是由一个单位或机构进行管理的网络系统,也称自治网络系统。园区网就是一个典型的自治网络系统。n 路由协议的类型:AS域内路由协议、AS域间路由协议。自治系统内部路由协议(IGP)1)RIPnRIP是一种基于距离矢量的动态路由协议,适用于最多16个路由器(最多15跳)的自治网络系统。n运行RIP的路由器维护了一张路由表,列出了自治系统内每一个目的网络的距离和转发端口(下一跳路由器)。n路由器周期性地(每隔30秒)向自治系统内的所有其他路由器通过广播分组传输路由表。n相邻路由器根据接收到的广播包更新路由表。RIP的优点(1)协议简单;(2)易于配置维护。RIP的
2、缺点 (1)网络规模受限。有“距离(跳数)”的限制(15跳)。(2)交换的路由信息是完整的路由表,影响网络效率;(3)“坏消息传播得慢”。当网络出现故障,故障信息需较长时间才能被所有路由器获知(更新).RIPv2的改进(1)支持无分类IP地址、可变长子网掩码(VLSM)(2)支持简单的鉴别,阻挡非法路由信息更新;(3)支持组播方式。n主要缺点与RIP一样。2)OSPF(开放最短路径优先)OSPF是一种基于链路状态的动态路由协议。所谓“链路状态”是指本路由器与哪些路由器相邻,以及该链路的度量。“度量”用来表示费用、距离、时延、带宽等等。OSPF的优点:(1)每当一个路由器的链路状态发生变化时,该
3、路由器向自治系统的所有路由器仅发送链路状态的变化信息(非定期发送);(2)每个路由器都有自己的链路状态数据库,其中保存着一致的全网拓扑结构信息和所有链路的状态信息;(3)路由信息(链路状态)更新收敛快,收敛时间小于100ms,适合链路状态频繁变化的网络;(4)支持分层结构,适用于大规模网络(路由器数量成百上千)。OSPF的缺点:复杂,不易掌握和使用。RIPngnRIPng(ng:下一代),适用于IPv6。IS-IS(中间系统-中间系统)一种基于链路状态的自治系统内的路由协议。*类似OSPFIS-IS比OSPF更加安全。IS-IS可扩展性更强。根据业界的统计,在园区网中,OSPF使用的频率要高于
4、IS-IS。但这并非完全是技术上的原因,而是与历史和厂商的市场策略有关。EIGRP(Cisco)nCisco的EIGRP协议是一种用来代替原Cisco IGRP协议的距离矢量路由选择协议,但同时具有一些可伸缩性的链接状态特点,在某些方面介于距离矢量路由选择协议和链路状态路由选择协议之间。n能非常快地适应网络上的变化n增加的更新仅包括变化,而非全部路由表 n可靠地分发更新n支持1000台路由器自治系统之间的路由协议(EGP)BGP(边界网关协议)一种基于距离向量的自治系统域间路由协议。也可用于自治系统内部(IBGP)。用于自治系统之间的可称为EBGP。BGP已取代早期的EGP。n表3.2 常用路
5、由选择协议的比较教材P68 表3-2虚拟专用网络(VPN)技术 VPN指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN隧道技术隧道技术 隧道技术涉及公网上的点到点逻辑通道、协议封装、负荷加密等技术。加解密技术加解密技术 加解密技术是数据通信中一项较成熟的技术,VPN直接利用现有技术实现加解密。密匙管理技术密匙管理技术 密匙管理技术的主要任务是
6、如何在公用数据网上安全地传递密匙而不被窃取。使用者与设备身份认证技术使用者与设备身份认证技术 使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的分类的分类n按VPN隧道协议工作的层次划分第1层VPN(L1 VPN)第2层VPN(L2 VPN)第3层VPN(L3 VPN)高层(网络层以上)VPN按VPN的应用分类nRemote Access VPN(远程接入VPN):由外地客户端(例如笔记本上的VPN软件)和公司网关组成,在出差员工和公司之间利用公网传输加密数据;nIntranet VPN(内联网VPN):由异地分支机构网关和公司网关组成,在分支机构和公司总部之间利用公网
7、传输加密数据;nExtranet VPN(外联网VPN):由公司的网关和合作伙伴企业的网关构成,在一个公司与另一个公司之间利用公网进行加密传输。基于不同产品平台的VPNn路由器VPN:路由器VPN是在路由器上运行VPN程序;n交换机VPN:交换机VPN是在交换机上运行VPN程序,主要应用于连接用户较少的VPN网络;n防火墙VPN:防火墙VPN是在防火墙上运行VPN程序,是最常见的VPN实现方式。按穿越的公网种类进行分类n帧中继(F.R.)VPNnATM VPNnIP VPNnMPLS VPNVPN 隧道协议n在公网上建立虚拟信道是利用隧道技术实现的,隧道可建立在物理层、链路层、网络层或高层。n
8、第一层隧道第一层隧道 OVPN(Optical VPN,光虚拟专用网)是目前最被看好的L1 VPN。OVPN 使运营商能将其光网络分成多个虚拟网络分别提供给多个用户,可提供区别于传统带宽型的业务。n第二层隧道基于PPP(点到点协议)协议(点到点协议)协议,有PPTP,L2P,L2TP,其特点是协议简单,易于加密,适合远程拨号用户。先将用户IP包封装在PPP数据包中,再封装在某种广域网的网络层PDU中。n第三层隧道是IP in IP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接,只适合在IP网上建隧道。将用户IP包封装在加了密的IP包中。n高层隧道高层隧道 高层隧道协议工作于
9、网络层以上各层,目前主要有SSL VPN(参见教材P71)、MPLS VPN(参见教材P72)。IP组播技术概述nIP组播技术实现了IP网络中点到多点的高效数据传送。n相对于数据单播传送,组播有效节省网络带宽,降低对网络设备的要求,用户规模可以灵活变化,用户规模的增大不会对网络和服务器造成带宽和性能压力。n在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛应用。n组播在园区网一般用于特殊场景,例如:网上教学、IP组播视频会议等业务。地址n组播组用D类IP地址(224.0.0.0239.255.255.255)来标识。n按照使用范围划分,组播地址可以分为三部分:(1)协议保留组播
10、地址 地址范围:224.0.0.1224.0.0.255。此地址范围被IANA预留,一般供网络协议使用。该范围内的地址属于局部范畴,此地址的组播报文不能被转发。(2)用户组播地址 地址范围:224.0.1.0238.255.255.255 此地址范围也称为公用组播地址,在全网范围内有效,可以用于Internet上。(3)本地管理组地址 地址范围:239.0.0.0239.255.255.255,此地址范围也称为私有组播地址,主要用于测试或供内部网络的内部使用,这个地址的组播不能上公网,类似于单播协议使用的私网地址。n园区内部部署的组播业务只是供本园区内部使用,宜采用本地管理组地址作为组播地址。
11、组播协议(1)协议分类 根据协议的作用范围,组播协议可分为:组播成员关系管理协议 (主机-路由器之间的协议)组播路由协议 (路由器-路由器之间协议)组播成员关系管理协议 IGMP(互连网组管理协议),目前有V1、V2、V3三个版本。组播路由协议 组播路由协议又分为两类:域内组播路由协议和域间组播路由协议。n域内组播路由协议 包括:PIM-SM、PIM-DM、DVMRP等协议;n域间组播路由协议 包括MBGP、MSDP等协议。IGMP Snooping协议nIGMP Snooping运行于二层交换机,是一种二层组播协议。n在网络层(第三层),路由器可以对组播报文的转发进行控制。但在很多情况下,组
12、播报文要不可避免地经过一些二层交换设备,如果不对二层设备进行相应的配置,则组播报文就会转发给二层交换设备的所有接口,这显然会浪费大量的系统资源,IGMP Snooping可以很好解决这个问题。域内组播路由协议PIM协议nPIM不依赖于某一特定单播路由协议 为IP组播提供路由信息的可以是静态路由、RIP、OSPF、IS-IS、BGP等任何一种单播路由协议。n组播路由和单播路由协议无关,只要通过单播路由协议能够产生相应组播路由表项即可。n与其它域内组播协议相比,PIM开销更小,组播效率更高。组播VLANn组播VLAN可以满足跨VLAN复制的需求 当不同VLAN的用户分别进行同一组播源点播时,组播V
13、LAN可实现组播数据在不同的VLAN内传送,便于对组播源和组播组成员的管理和控制,同时也可以减少带宽浪费。4.5.2 第三层网络设备n路由器nL3交换机n路由器 路由器是工作在网络层的网络互连设备,基于路由表按IP地址进行分组转发。路由器的优点n 既能隔离冲突域,也能隔离广播域;n适用于大中规模网络;n支持复杂的网络拓扑结构;n支持负载共享和路径寻优;n支持组播;n能更好地处理多媒体;n安全性高。路由器的缺点n价格高;n转发速度较慢;n安装复杂;n同类端口数少。路由器的分类n按吞吐量可分为:高档路由器(40Gb/s)、中档路由器(25G40Gb/s)和低档路由器(25Gb/s);n按运营商角度
14、可分为:核心路由器、边缘路由器和接入路由器n按附加功能可分为:IP电话路由器,防火墙路由器,无线路由器,VPN路由器等。n按结构可分为:模块化路由器(可扩展插卡)和非模块化路由器(固定端口)。n按支持的路由选择选择数量可分为:单协议路由器和多协议路由器。路由器的适用场合n局域网(园区网)与城域网/广域网的互联;n需要隔离广播域时;n网络层异构的广域网之间的互联;nVLAN之间的互联;n构成防火墙。L3交换机nL3交换机是工作在网络层的网络互联设备。n通过“一次路由、多次交换”的方式实现比路由器更高的转发速度。L3交换机的优点n数据包转发速度快;n成本低;n组网灵活(每个端口可配置为交换口或路由
15、口)。n端口密度高。L3交换机的缺点网络环路防护(通过生成树协议),影响网络可扩展性和管理维护的简易性;支持的路由选择选择较单一(一般是IP);在L3交换机之间互连链路中同时支持IGP路由、VLAN Trunk及MPLS交换的能力不够。L3交换机的适用场合n局域网/园区网的核心层;n局域网/园区网与城域网/广域网互联;n路由器不能满足转发速率或成本较高时。4.5.3 第三层设计要点n第三层设计一般采用汇聚交换机作为路由和交换的分界点。这种设计方法有如下优点:(1)路由配置简单 只需要在2台汇聚/核心交换机上配置路由。大量的接入交换机只做二层交换,配置简单。便于采用接入交换机的“自动配置”功能,
16、减少配置维护工作量。(2)扩展性好 在同一个汇聚/核心交换机下的服务器扩容方便,并且随着业务的变化不需要更改网络的配置,即插即用。自治系统域内路由选择协议设计要点自治系统域内路由选择协议设计要点 q园区网是基于TCP/IP的自治系统,因此所选IGP协议应是基于IP协议的。q若园区网内的路由器数量较少(不大于15跳),且非层次化架构并不在意网络故障时的较长收敛时间,宜选RIP协议。q若是层次化的大中型园区网,或在意网络的快速收敛,应采用链路状态路由选择协议。若无部署IPv6的需求,可任选OSPF或IS-IS。若现用IPv4以后要升级到IPv6,则IS-IS更容易。q若大中型园区网用得是Cisco
17、的网络设备,宜考虑选用EIGRP。q 若选用OSPF协议,参见教材。BGP设计设计 园区网中使用BGP的场景n场景1 路由数量过于庞大,OSPF难以胜任时。一般单独一个园区内部路由数目可能不会很多,但是当一个企业分支众多且IP规划不十分合理,导致路由条目过多,特别是园区的出口路由器上可建议部署BGP进行合理规划引入部分路由。n场景2 由于业务需要,需要大量的使用路由策略或者是业务分流,使用OSPF等协议不擅长,使用BGP可以方便的控制路由策略,来分配业务流向。n场景3 部署MPLS VPN技术时,用于复杂的隔离策略等。BGP设计要点如下:(1)IBGP和EBGP的选择 由于园区网的规模通常都不
18、会很大,IBGP(内部BGP协议)就可以满足一般需求。(2)在使用MPLS L3VPN时,宜使用MP-IBGP协议。MP-IBGP是对传统BGP的扩展,增加了对VPNv4和IPv6地址的支持。在L3VPN中,主要用于私网路由的发布。应在PE上部署MP-IBGP,并配置对端PE为对等体。(3)BGP对设备的要求 BGP协议本身并不消耗很多资源,只有当运行BGP的设备需要学习很多条路由,需要建立很多邻居关系时才会要求设备自身的高性能。只要规划得当,任何档次的设备(包括接入层设备)都可以运行BGP协议。VPN设计要点设计要点(1)宜以IPSec VPN 作为一般远程接入方案和点对点连接方案,辅以SS
19、L VPN 作为访问Web 服务的远程接入方案。(2)SSL VPN 的适用场景 企业需要通过Web 远程接入互联网;客户端与目标服务器之间有防火墙,允许HTTPS 数据包通过,但不允许IKE 或IPSec数据包通过;需要精细访问控制能力的场合。(3)MPLS VPN的适用场景 MPLS VPN适用于运营商城域网、大型园区网、有异地分支机构的Intranet或Extranet。(4)L1 VPN(OVPN)适用于对网络传送资源需求量较大并对QoS 和安全有严格要求的用户。(5)IPSec 和MPLS 不是互斥的可以结合使用 两者可同时使用。可以为需要较高认证和机密性的数据流使用IPSec,而为对带宽、流量工程和QoS 有较高要求的数据流使用MPLS。组播设计要点1)园区内部宜采用本地管理组地址作为组播地址。2)园区网域内组播路由宜使用PIM组播路由协议。这是因为园区网的路由属于域内路由,园区网部署的组播业务不涉及跨域问题。3)在园区网中,宜采用PIM-SM+IGMP Snooping实现组播业务。汇聚交换机到组播源采用PIM-SM协议,接入交换机通过IGMP Snooping+组播VLAN,可实现跨VLAN的组播,终端上部署IGMP。
