DCN网培训材料-(精品课件).pptVIP

IGRP 是一个基于D-V（Distance vector）算法的路由协议，运行IGRP 的路由器通过和相邻路由器之间相互交换路由信息来建立路由表。IGRP 是从RIP 基础之上发展而来的。它比较RIP 而言，主要有以下几点改进： IGRP路由的跳数不再受16跳的限制，同时在路由更新上引入新的特性，使得IGRP 协议适用于更大的网络； 引入了触发刷新、路由保持、水平分割和毒性路由等机制，使得IGRP 对网络变化有着较快的响应的速度，并且在拓扑结构改变后仍然能够保持稳定。 在Metric值的范围和计算上有了很大的改进，使得路由的选择更加准确，同时使路由的选择可以适应不同的服务类型。 运行IGRP 协议的路由器通过广播地址向相邻的路由器周期性的发送自己的路由表，同时当它收到相邻路由器发送的路由表后，根据收到的路由表增加、删除、修改本地的路由表，以达到全局路由的一致性。 OSPF 是Open Shortest Path First（即开放最短路由优先协议）的缩写。它是IETF 组织开发的一个基于链路状态的自治系统内部路由协议。在IP 网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。 适应范围棗 OSPF 支持各种规模的网络，最多可支持几百台路由器。 快速收敛棗 如果网络的拓扑结构发生变化，OSPF 立即发送更新报文，使这一变化在自治系统中同步。 无自环棗 由于OSPF 通过收集到的链路状态用最小生成树算法计算路由，故从算法本身保证了不会生成自环路由。 区域划分棗 OSPF 协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。 等值路由棗 OSPF 支持到同一目的地址的最多三条等值路由。 路由分级棗 OSPF 使用4 类不同的路由，按优先顺序来说分别是：区域内路由、区域间路由、第一类外部路由、第二类外部路由。 支持验证棗 它支持基于接口的报文验证以保证路由计算的安全性。 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口。 因此防火墙不但可以保护内部网络在Internet 中的安全，同时还可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。 包过滤技术主要是设定一定的规则，控制数据包。路由器会根据设定的规则和数据包的包头信息比较，来决定是否允许这个数据包通过。 实现包过滤技术最核心内容就是访问控制列表。 用户可以通过Internet和外部网络进行联系，网络管理员都面临着一个问题，就是如何拒绝一些不希望的连接，同时又要保证合法用户进行的访问。 为了达到这样的效果，我们需要有一定的规则来定义哪些数据包是“合法”的（或者是可以允许访问），哪些是“非法”的（或者是禁止访问）。这些规则就是访问控制列表。 访问控制列表就可以提供这样的功能，它按照数据包的特点，规定了一些规则。 这些规则描述了具有一定特点的数据包，（例如所有源地址是 地址段的数据包、所有使用Telnet 访问的数据包等等）并且规定它们是被“允许”的还是“禁止”的。 这样可以将访问控制列表规则应用到路由器的接口，阻止一些非法的访问，同时并不影响合法用户的访问。访问控制列表提供了一种区分数据包种类的手段，它把各种数据包按照各自的特点区分成各种不同的种类，达到控制用户访问的目的。 由于访问控制列表具有区分数据包的功能，因此，访问控制列表可以控制“什么样的数据包”，可以做什么样的事情。 例如，当企业内部网通过拨号方式访问Internet ，如果不希望所有的用户都可以拨号上网，就可以利用控制列表决定哪些主机可以触发拨号，以达到访问Internet 的目的。 利用访问控制列表可以控制数据包的触发拨号，同样在IPSec、地址转换等应用中，可以利用控制列表描述什么样的数据包可以加密，什么样的数据包可以地址转换等。 IP 数据包具有一定的特征，例如，对于每个TCP 数据包，都包含有上图所示的5个元素，利用这5个元素就可以描述出一个数据包的特征。 访问控制列表利用的就是这些包头的信息来定义规则的。 通配比较位的意义和子网掩码很相似，