網絡基礎及新技術學習內容提要1網絡基礎知識2常見網絡技術及應用3103工程講解OSI參考模型OSIRM：開放系統互連參考模型（OpenSystemInterconnectionReferenceModel）網絡世界的通信證!保證不同應用間的數據區分用戶接口數據表示加密等特殊處理過程TelnetHTTPASCIIEBCDICJPEGOperatingSystem/ApplicationAccessScheduling傳輸層數據鏈路層網絡層物理層例子會話層表示層應用層應用層作用TCPUDPSPX802.3/802.2HDLCEIA/TIA-232

V.35IPIPX例子數據流層的作用傳輸層數據鏈路層物理層可靠或不可靠的數據傳輸數據重傳前的錯誤糾正將比特組合成字節進而組合成幀用MAC地址訪問介質錯誤發現但不能糾正設備間接收或發送比特流說明電壓、線速和線纜等網絡層提供路由器用來決定路徑的邏輯尋址傳輸層數據鏈路層物理層網絡層上層數據上層數據TCP頭數據IP頭數據LLC頭0101110101001000010數據MAC頭表示層應用層會話層段包比特幀PDUFCSFCSOSI與網絡硬件的關系路由器和交換機上的內容智能服務器的負載均衡和第四層交換機第三層交換機和路由器第二層交換機和集線器中繼器典型網絡模型賀歲大片——《網絡帝國》路由器（男主角）網絡中最重要的設備，提供最豐富的接口連接、軟件特性，也是構建網絡的核心力量。以太網設備（L2/L3/LAN接入）（女主角）提供各種以太網接口類型的線速轉發功能，是構建局域網和城域網的核心力量。路由交換設備（反串）提供LAN交換板的路由器；提供增強型引擎的交換機——路由器和交換機的融合趨勢越來越明顯。其他設備（配角）網管、安全、語音、視訊設備，提供網絡的管理或業務增值功能。二層或物理層交換設備（劇務）ATM交換機、FR、X.25交換機、DDN節點機、傳輸設備。對各種物理端口進行帶寬或時隙的拆分。交換機每段有自己的沖突域廣播信息向所有段轉發MAC地址表轉發緩沖區交換路由器路由器的核心作用是實現網絡互連分組數據轉發路由（尋徑）：路由表建立、刷新、查找子網間的速率適配隔離網絡，防止網絡風暴，指定訪問規則（防火墻）不同網段或者異種網絡互連WAN路由器工作流程IPETHPPP以太口串口IPETHPPP以太口串口協議封裝路由選擇協議轉換路由器路由器WAN傳送拆包LAN1LAN2接收發送工作過程運營級網絡的規劃流程設備選型物理連通IP連通路由規劃拓撲規劃MPLS/VPN規劃QOS規劃板卡規劃IP地址規劃業務隔離及關鍵業務確保帶寬及流量控制網絡安全部署網管規劃可運營可管理的安全網絡策略路由高級路由協議規劃網絡的層次劃分核心層交換數據包，實現高速的數據流量運轉，核心層的設備不但需要容量大，轉發快，而且需要具備高穩定性。但通常對業務的需求高。匯聚層隔離拓樸結構變化、控制路由表的大小及控制流量、端口的收斂。實現豐富的業務特性。接入層將終端用戶接入到網絡中，大量的端口，強大的接入能力。實現豐富的業務特性。幾點說明在小型的網絡中，層次不一定這么明顯，很可能只有兩個甚至一個層次的設備。在一些大型網絡中，層次可能劃分的更細：例如，增加了邊緣接入層、和骨干核心層。在某個范圍之內的核心層，在上一級網絡中很可能只是匯聚層。舉例：黑龍江省國家稅務局網絡內容提要1網絡基礎知識2常見網絡技術及應用3103工程講解以太網技術的發展趨勢企業以太網城域以太網Stackwise/IRFMSTPWLANVoiceVLANIDS聯動可信準入

鏈路聚合MPLSVPNQinQMulti-VRF10GRPR/DPTIPV6千兆接入三層到桌面EPONMPLS-TP/MacinMacPOE100G以太網虛擬交換機內容提要1Vlan、VoiceVlan、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協議簡介VLAN發展----起源L2L2L2L2L2廣播域廣播報文VLAN發展----起源L2L2L2L2L2廣播域廣播報文使用路由器隔離廣播域，減少廣播報文對網絡的影響L2L2L2L2L2廣播報文VLAN2VLAN3VLAN4一個VLAN，一個廣播域VLAN發展----起源VLAN的引入，為解決廣播報文的泛濫提供了新的方法限制廣播域，抑制廣播報文隔離用戶，保證網絡安全虛擬工作組，超越傳統網絡的工作組方式VLAN發展----劃分方法基于MAC地址基于交換機端口基于協議基于IP子網VLAN與二層交換----鏈路類型干道鏈路接入鏈路跨越交換機的VLAN報文轉發Trunk端口Trunk端口Access端口Access端口VLAN與二層交換---標簽化的報文VLAN10VLAN10VLAN20VLAN20VLAN20標簽報文VLAN10標簽報文無標簽報文VLAN與二層交換----交換規則主機和交換機之間傳送的是untagged報文交換機之間用干道鏈路（Trunk）連接交換機用Tag來標識報文所屬的VLAN干道鏈路上傳輸的是TaggedFrame不同VLAN之間在二層不能相互通訊VLAN發展----VLAN與三層路由不同VLAN之間是隔離一個VLAN原則上對應一個IP子網（PVLAN，VLAN聚合除外）VLAN之間互通需要三層路由VLAN與三層路由----三層交換機+=每一個VLAN對應一個IP網段，在二層上，VLAN之間是隔離的。不同的IP網段之間的訪問要跨越VLAN，可以使用三層轉發引擎提供的VLAN間路由功能。三層轉發引擎就相當于傳統路由器的路由功能，當VLAN之間相互通信時也要，需要在三層交換引擎上分配一個路由虛接口，三層交換機上的路由虛接口與路由器的接口不同，不特定于某個物理端口。在三層交換機上為VLAN指定路由虛接口的操作就是為VLAN指定一個IP地址、子網掩碼和MAC地址，MAC地址是由設備制造過程中分配的，在配置過程中由交換機自動配置。+VLANVLAN應用——PVLAN

PVLAN：PrimaryVLAN，即私有VLAN優點：節約交換機VLAN的使用數量特點：PVLAN是個純二層的概念，在單個交換機上配置的VLAN對于其他交換機是不可見的,不能與Trunk同時使用PVLAN-實現原理

使用兩層VLAN隔離的方法，只有上層VLAN全局可見，相當于在一個VLAN內實現用戶隔離，達到端口隔離的效果VLAN應用——VLAN聚合

VLANAggregation：RFC3069——SuperVLAN，SubVLAN概念：在一個物理網絡內，用VLAN隔離廣播域，不同的VLAN屬于同一個子網。優點：節約大量的IP地址：子網地址、廣播地址、網關地址，擴展容易VLAN聚合--工作原理

正常情況下，一個VLAN對應一個IP子網

VLAN聚合中，SuperVLAN對應的路由虛接口，作為所有其SubVLAN包含的端口下掛的主機的網關地址。不同SubVLAN下的主機是不能互通的，如果互通，需要在SuperVLAN上配置ARPProxy。241Subvlan3Subvlan2Subvlan43SuperVLAN1路由接口/24LanSwitchIP地址：/24網關：IP地址：/24網關：VoiceVLAN背景隨著語音技術的日益發展，IP電話、IAD（IntegratedAccessDevice，綜合接入設備）應用越來越廣泛，尤其在寬帶小區，網絡中經常同時存在語音數據和業務數據兩種流量。語音數據在傳輸時需要具有比業務數據更高的優先級，以減少傳輸過程中可能產生的時延和丟包現象。提高語音數據傳輸優先級的傳統處理方法是使用ACL對語音數據進行區分，并使用QoS保證傳輸質量。為簡化用戶配置、更方便的管理語音流的傳輸策略，交換機提供了VoiceVLAN功能。VoiceVLAN的主要特點就是可以通過報文的源MAC地址自動識別出語音流量，并將語音流量分發到特定的VLAN（VoiceVLAN）中傳輸。VoiceVLAN技術優勢相對于使用ACL/QoS來區分語音流的方法，VoiceVLAN對語音流的管理具有以下一些優勢：配置簡單：用戶只需要在全局和端口下進行簡單的配置，開啟VoiceVLAN功能，即可對語音數據進行分類處理，而不需要配置復雜的二層ACL和QoS，也不必關心各規則的匹配順序以及下發至端口造成的其他問題。便于維護：用戶可以在全局配置對語音數據的匹配規則（VoiceVLANOUI地址）進行修改，在新增IP語音設備的情況下，各端口能夠迅速根據更新的匹配規則識別語音流，用戶不需要配置新的二層ACL和QoS策略。實現靈活：相對于ACL/QoS的純手工靜態配置，VoiceVLAN功能在全局提供了安全/普通兩種模式，端口上又可以分為自動/手動模式，實現更為靈活，用戶可以根據自己需要進行組合，最大限度滿足用戶的需求。VoiceVLAN組網應用內容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協議簡介VRRP工作原理VRRP負載和網絡流量均衡內容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協議簡介802.1X的背景和概念

--傳統局域網的缺陷安全性問題：1.用戶只要能接入局域網設備,就可以訪問網中的設備或資源;2.WLAN的安全性問題更顯得突出;運營管理問題：1.IEEE802LAN協議定義的局域網不提供接入認證;2.對于電信接入、寫字樓、移動辦公等應用需要對用戶的接入進行認證、計費和配置；802.1X簡介

802.1X協議是IEEE在2001.6通過的正式標準，標準的起草者包括Microsoft，Cisco，Extreme，Nortel等802.1X協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1X對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1X只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。802.1X工作過程802.1X特點基于以太網端口認證的802.1x協議有如下特點：IEEE802.1X協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在RAS系統中常用的EAP（擴展認證協議），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1X的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包；可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。

802.1X與其他認證方式的簡單比較

802.1XPPPoEWeb認證是否需要安裝客戶端軟件

是是否

XP不需要業務報文效率高低，有封裝開銷高組播支持能力好低，對設備要求高好有線網上的安全性擴展后可用可用可用

設備端的要求低高較高處理流程清晰清晰較復雜802.1X認證的優勢簡潔高效：純以太網技術內核，保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余；消除網絡認證計費瓶頸和單點故障，易于支持多業務和新興流媒體業務。

容易實現：可在普通L3、L2、IPDSLAM上實現，網絡綜合造價成本低，保留了傳統AAA認證的網絡架構，可以利用現有的RADIUS設備。

安全可靠：在二層網絡上實現用戶認證，結合MAC、端口、賬戶、VLAN和密碼等；綁定技術具有很高的安全性，在無線局域網網絡環境中802.1x結合EAP－TLS，EAP－TTLS,可以實現對WEP證書密鑰的動態分配，克服無線局域網接入中的安全漏洞。

行業標準：IEEE標準，和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操作系統內置支持，Linux也提供了對該協議的支持。

應用靈活：可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術或者是業務的需要。

易于運營：控制流和業務流完全分離，易于實現跨平臺多業務運營，少量改造傳統包月制等單一收費制網絡即可升級成運營級網絡，而且網絡的運營成本也有望降低。

802.1X在大中型網絡中的應用模式AAA/DHCP/DNS支持802.1X設備端支持802.1X設備端802.1X客戶端802.1X認證服務器802.1X客戶端內容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協議簡介訪問控制列表（AccessControlList，ACL）ACL簡介： 訪問控制列表（AccessControlList，ACL）是路由器和交換機接口的指令列表，用來控制端口進出的數據包。ACL適用于所有的被路由協議，如IP、IPX、AppleTalk等。這張表中包含了匹配關系、條件和查詢語句，表只是一個框架結構，其目的是為了對某種訪問進行控制。

ACL具體的執行流程：數據包只有在跟第一個判斷條件不匹配時，它才被交給ACL中的下一個條件判斷語句進行比較。如果匹配（假設為允許發送），則不管是第一條還是最后一條語句，數據都會立即發送到目的接口。如果所有的ACL判斷語句都檢測完畢，仍沒有匹配的語句出口，則該數據包將視為被拒絕而被丟棄。

注意：一個端口執行哪條ACL，這需要按照列表中的條件語句執行順序來判斷。如果一個數據包的報頭跟表中某個條件判斷語句相匹配，那么后面的語句就將被忽略，不再進行檢查。ACL作用1.ACL可以限制網絡流量、提高網絡性能。例如，ACL可以根據數據包的協議，指定數據包的優先級。

2.ACL提供對通信流量的控制手段。例如，ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

3.ACL是提供網絡安全訪問的基本手段。ACL允許主機A訪問人力資源網絡，而拒絕主機B訪問。

4.

ACL可以在路由器端口處決定哪種類型的通信流量被轉發或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。某部門要求只能使用WWW這個功能，就可以通過ACL實現；又例如，為了某部門的保密性，不允許其訪問外網，也不允許外網訪問它，就可以通過ACL實現。

這里要注意，ACL不能對本路由器產生的數據包進行控制。ACL分類目前有兩種主要的ACL:標準（standard）ACL和擴展（extended）ACL標準的ACL使用1~99

以及1300~1999之間的數字作為表號擴展的ACL使用100~199以及2000~2699之間的數字作為表號

標準ACL可以阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。

擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。從IOS12.0開始，思科（CISCO）路由器新增加了一種基于時間的訪問列表。通過它，可以根據一天中的不同時間，或者根據一星期中的不同日期，或二者相結合來控制網絡數據包的轉發。

內容提要1Vlan、VoiceVlan、QinQ、PVlan等2VRRP3802.1x4ACL5QoS6ARP攻擊、DDOS攻擊7OSPF協議簡介QOS簡介什么叫QOSQoS（QualityofService），又稱服務質量，是指為使用戶在吞吐量、延遲抖動、延遲，丟包率等方面獲得預期服務水平所采取的一系列技術的集合。更簡單地說：QoS就是針對各種不同需求，提供不同服務質量的網絡服務。現狀傳統IP網采用了FIFO，對報文的吞吐量、延遲、延遲抖動、丟包率等都不能預期，可能很好，也可能極差，一切都要視網絡狀況而定。QOS模型QoS的實現模型主要有集成服務模型（IntegratedService）和差別服務模型（DifferentiatedService）。集成服務模型是端到端的基于流的QoS技術，它通過信令向網絡申請特定的QoS服務，網絡在流量參數描述的范圍內，預留資源以承諾滿足該請求。差別服務模型是一種基于類的QoS技術，它在網絡邊界將數據流按QoS要求進行簡單分類，并根據業務的不同服務等級約定，有差別地進行流量控制和轉發來解決擁塞問題。QoS（QualityofService）QoS概念： QoS是一種控制機制，它提供了針對不同用戶或者不同數據流才用相應不同的優先級，或者是根據應用程序的要求，保證數據流的性能達到一定的水準。QoS的保證對于容量有限的網絡來說是十分重要的，特別是對于串流多媒體應用，例如VoIP和IPTV等，因為這些應用常常需要固定的傳輸率，對延時也比較敏感。

內容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協議簡介ARP協議介紹

ARP——AddressResolutionProtocol地址解釋協議，RFC826為IP地址到MAC地址提供動態映射，定位到目的IP的對應MAC才能實現數據交換以太網目的地址以太網源地址幀類型硬件地址協議類型硬件地址長度協議地址長度OP發送端以太網地址目的以太網地址發送端IP地址目的IP地址662222116644以太網首部28字節ARP請求/應答誰是？告訴我MAC地址

的MAC地址是AARP請求ARP應答免費ARP

的MAC地址是CMACAMACBMACCMACDARP欺騙攻擊—仿冒網關攻擊者發送偽造的網關ARP報文，可廣播給同網段內的所有其他主機主機訪問網關的流量，被重定向到錯誤的MAC地址，無法正常訪問外網是最常見的ARP攻擊方式，導致網絡癱瘓，甚至數據被竊取用戶A的ARP表項IPAddressMACTypeGDynamicBDynamicBDynamic目的MAC源MAC目的IP源IP5-5-5A用戶A的上網流量被錯誤的發送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網關GIP：MAC：G

的MAC地址是BARP欺騙攻擊—欺騙網關攻擊者偽造虛假的用戶ARP報文，發給網關網關發給該用戶的數據重定向到錯誤的MAC地址，該用戶收不到網關返回的數據而無法正常訪問外網目的MAC源MAC目的IP源IP5-5-5G網關發給用戶A的流量被錯誤的發送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網關GIP：MAC：G網關的ARP表項IPAddressMACTypeADynamicBDynamicBDynamic

的MAC地址是BARP欺騙攻擊—欺騙終端用戶攻擊者偽造虛假的用戶ARP報文，發送給網段內的其他主機網段內的其他主機發給該用戶的數據被重定向到錯誤的MAC地址，該用戶與其他主機無法互訪目的MAC源MAC目的IP源IP5-5-5A網關發給用戶A的流量被錯誤的發送到攻擊者B攻擊者BIP：MAC：B用戶AIP：MAC：A網關GIP：MAC：G用戶CIP：MAC：C用戶A的ARP表項IPAddressMACTypeGDynamicBDynamicCDynamicBDynamic

的MAC地址是BARP泛洪攻擊攻擊者偽造大量不同ARP報文在網段內進行廣播導致網關ARP表項被占滿，無法正常學習合法用戶的ARP，網絡癱瘓大量廣播報文消耗交換機和網絡資源，網絡明顯變慢大量的ARP廣播報文攻擊者BIP：MAC：B用戶AIP：MAC：A網關GIP：MAC：GARP廣播報文對應的MAC是A無法學習！網關的ARP表項(存在大量虛假ARP)IPAddressMACType0-0-1Dynamic0-0-2Dynamic0-0-3Dynamic0-0-4Dynamic……DynamicARP攻擊防御的三個控制點網關G用戶接入設備網關防御合法ARP綁定，防御網關被欺騙

VLAN內的ARP學習數量限制，防御ARP泛洪攻擊1接入設備防御將合法網關IP-MAC進行綁定，防御仿冒網關攻擊

ARP入侵檢測

ARP限速，防止大流量ARP報文沖擊網絡綁定用戶的靜態MAC2客戶端防御合法網關ARP綁定，防止網關仿冒攻擊綁定該主機的合法IP-MAC，過濾掉所有非法ARP報文ARP限速3根據前述ARP攻擊原理，解決ARP欺騙攻擊有以下三個控制點：ARP攻擊防御總結部署方式預防類型實現方式部署位置部署要求A：ARP限速4限制端口下ARP報文速率，避免大量虛假ARP占用網絡帶寬，導致網絡設備CPU負載過重接入交換機支持ARP限速特性B：DHCP監控1，2，3，4監控DHCP過程，自動建立綁定表項，通過ARPDetection防止虛假ARP在網絡中傳播接入交換機支持DHCP監控模式特性C：1x認證監控1，2，3，4監控1x認證過程，自動建立綁定表項，通過ARPDetection防止虛假ARP在網絡中傳播接入交換機支持1x認證監控模式D：手工靜態綁定1，2，3，4對不采用DHCP、1x認證的端口，手工配置ARPDectection綁定表項接入交換機支持手工靜態綁定特性E：普通認證方式1，4認證服務器向接入終端下發對應網關的IP-MAC綁定，終端PC生成靜態表項；可進行終端ARP流量檢測，超過閾值自動下線認證服務器、接入客戶端配置網關的IP-MAC綁定列表，接入終端支持ARPF：簡單網關綁定1接入終端若發送帶有網關IP的ARP報文，進行丟棄接入交換機支持簡單網關綁定特性G：ARP一致性檢查2，4檢查ARP報文的源MAC與以太頭中的源MAC是否一致，不一致則不學習和更新ARP表項網關支持ARP一致性檢查特性預防類型：1.仿冒網關2.欺騙網關3.欺騙終端用戶4.ARP泛洪內容提要1Vlan、VoiceVlan、QinQ、PVlan等3VRRP4802.1x5ACL2IPv66QoS7ARP攻擊、DDOS攻擊8OSPF協議簡介OSPF簡介OSPF（OpenShortestPathFirst，開放最短路徑優先協議）是一種基于鏈路狀態路由選擇算法的內部網關路由協議。OSPF的版本有OSPFv1、OSPFv2和OSPFv3，前兩者用于IPv4，OSPFv3用于IPv6。OSPF的功能比RIP強大的多，適用于比較大型的網絡，但也很復雜。OSPF的發展歷史1989年的RFC1131是描述OSPF的第1個IETF標準，這個版本被稱為OSPFv1。

1998年形成了OSPFv2的最終標準RFC2328。

IETF在1999年12月發布了基于IPv6的OSPF路由協議標準——RFC2740，被稱為OSPFv3。

OSPF的基本思想每個OSPF路由器都維護一個用于跟蹤網絡狀態的鏈路狀態數據庫（LSDB），各路由器通過鏈路狀態信息的交換實現LSDB的一致。

OPSF基于Dijkstra算法和自治系統中路由器的鏈路狀態進行路由計算，得到最短路徑。OSPF的特點基于鏈路狀態路由算法支持多種度量方法收斂速度快劃分3個區域的自治系統OSPF區域劃分區域劃分的目的降低LSDB的大小。減少LSA交互的數量。減輕路由計算量。區域的分類主干域（0域）普通域（非0域）虛連接區域劃分中的注意事項不同區域的LSDB是不一樣的；某個區域的詳細拓撲結構對其他區域來說是不可見的；區域邊界路由器可以同時屬于多個域，其中肯定有主干域。OSPF路由器分類區域內部路由器（InternalRouter，IR）區域邊界路由器（AreaBorderRouter，ABR）主干路由器

（BackboneRouter，BR）

自治系統邊界路由器

（ASBoundaryRouter，ASBR）

OSPF路由器分類

OSPF路由選擇分類

域內路由域間路由自治系統外部路由

域內路由

OSPF路由選擇分類

域間路由

OSPF路由選擇分類

OSPF數據包簡介近鄰關系的建立過程有時也被稱為交換協議。一般來講，在點對點網絡、虛擬鏈路網絡和點對多點網絡中，鄰居之間都可以建立近鄰關系；而在廣播網絡和NBMA網絡中，只有DR（BDR）和鄰居之間才能建立近鄰關系。鄰居之間建立近鄰關系的過程，就是它們進行鏈路狀態數據庫LSDB的交互，并最終實現LSDB同步的過程。四種數據包

數據庫描述DD（DatabaseDescription）包鏈路狀態請求LSR（LinkStateRequest）包鏈路狀態更新LSU（LinkStateUpdate）包鏈路狀態確認LSAck（LinkStateAcknowledge）包

內容提要1網絡基礎知識2常見網絡技術及應用3103工程講解103工程背景

金稅三期工程的總體規劃，本次工程廣域網是一個覆蓋總部、省局、地市、區縣和稅務分局（所）等各級國、地稅稅務機關的綜合性通信平臺。主要用于承載稅務系統各類業務應用和網絡其他應用兩大類業務，服務對象涉及全國以及稅務系統內部工作人員。103工程建設要求建設要求103工程實施目標103工程網絡拓撲103工程設備介紹-SR6608H3CSR6608路由器在本次工程中用于各個市局節點的路由器，根據行政區劃，和設備辦卡的不同，分為RT5路由器和RT6路由器，2-1包共計使用了226臺該型號路由器（一般1個地市安裝1-2臺路由器）103工程設備介紹-MSR5040H3CSR5040路由器在本次工程中用于各個縣局節點的路由器，根據行政區劃，做為RT7A路由器，2-1包共計使用了20臺該型號路由器（一般1個區縣安裝1-2臺路由器）103工程設備介紹-MSR3020H3CSR3020路由器在本次工程中用于各個縣局節點的路由器，根據行政區劃，作為RT7B路由器，2-1包共計使用了920臺該型號路由器（一般1個區縣局安裝1-2臺路由器）103工程設備介紹-MSR3010H3CMSR3010路由器在本次工程中用于各個稅務所級節點的路由器，根據行政區劃，作為RT8路由器，2-1包共計使用了423臺該型號路由器（一般1個稅