路由聚合定义：通过把多条路由聚合为一条来减小路由表规模，加快路由查表速度聚合的前提 被聚合的明细路由必须是同一下一跳或出接口 被聚合的明细路由必须是连续的子网 路由聚合算法掩码缩短位数和聚合对应关系： 掩码缩短 聚合数量 1 2 2 4 3 8 4 16 要点：聚合必须是从该地址范围的第一个子网开始计算 路由聚合引起的环路问题 错误的聚合配置会导致路由环路 默认路由的配置导致路由环路，解决方法，配置黑洞路由 常用命令12[h3c-GigabitEthernet0/0]rip summary-address 'network' 'mask' #RIP手动聚合[h3c]ip route-static 'netword' 'mask' null0 #配置静态黑洞路由

大规模路由技术概述 三层网络模型与路由技术 接入层：静态路由、RIPv2、二层环境 汇聚层：OSPF、IS-IS 核心层：OSPF、IS-IS、BGP 广域网连接：BGP、静态默认路由 大规模网络对路由技术的要求可靠性需求 汇聚层：路径自动冗余、区域划分隔离故障 核心层：路径自动冗余 广域网连接：BGP负载、浮动静态路由备份 可扩展性需求 采用VLSM规划有利于路由聚合 协议分层与与网络分层相结合 路由度量值符合网络需求 可管理性需求 能够通过调整来控制路由选择 能够控制路由传播范围 能够控制数据依据策略转发 网络快速恢复的需求 快速HELLO、BFD 快速收敛技术 快速重路由技术 解决IP地址短缺 支持IPv6

实验拓扑 实验需求I.局域网中存在 Vlan10 和 Vlan20 两个业务 VLAN，IP 网段分别对应 192.168.1.0/24 和 192.168.2.0/24 II.业务 VLAN 可以在所有链路上传输数据 SW3: 12345678910111213vlan 10 vlan 20vlan 100 vlan 200 int g 1/0/1port link-type trunkport tr per vlan 10 20 100 200int g 1/0/2port link-type trunkport tr per vlan 10 20 100 200int g 1/0/3port link-type trunkport tr per vlan 10 20 100 200 III.SW1 和 SW2 之间的直连链路上配置静态链路聚合实现链路冗余，并提高链路带宽 略 IV.SW3 为某接入点二层交换机，与汇聚交换机 SW1 和 SW2 运行 MSTP 来对 Vlan10 和 Vlan20 的流量进行负载分担。要求 Vlan10 的流量优先从 SW1 转发 ...

SSH定义 一种安全的远程登录协议 基于TCP22端口传输 特征 支持数据加密和数字签名 连接建立流程 SSH实验实验拓扑 实验需求I.按照图示配置 IP 地址，使用真机连接模拟器 R1 II.在 R1 上配置 SSH 服务，使真机可以使用 SSH 远程登录 R1 III.公钥加密连接 实验解法I.配置 IP 地址部分略 II.在 R1 上配置 SSH 服务，使真机可以使用 SSH 远程登录 R1 步骤 1：开启 SSH 服务 1[R1]ssh server enable 步骤 2：进入 VTY 视图，配置验证模式为 scheme，设置用户权限为 Level-15，并配置协议为 ssh 1234[R1]user-interface vty 0 4[R1-line-vty0-4]authentication-mode scheme[R1-line-vty0-4]user-role level-15 [R1-line-vty0-4]protocol inbound ssh 步骤 3：创建用于登录验证的用户，配置密码，配置用户权限为 Level-15，服务类型为 ...

AAA架构 Authentication用户验证：确认访问网络的远程用户的身份，判断访问者是否为合法的网络用户。 Authorization授权：对不同用户赋予不同的权限，限制用户可以使用的服务。例如用户成功登录服务器后，管理员可以授权用户对服务器中的文件进行访问和打印操作。 Accounting计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等； 验证模式 本地验证 用户身份验证过程发生在接入设备上 远程验证 用户身份验证过程发生在指定的AAA服务器上 可以实现对网络中所有接入点进行集中统一身份验证 相关协议RADIUS 使用UDP1812和1813端口传输数据 验证和授权发生在同一台服务器上，不可分离 TACACS+ 使用TCP传输 比RADIUS的安全级别更高 Radius只对报文头部加密 TACACS+对报文zhen TACACS+可以对用户命令行的级别进行授权，而Radius不行 验证、授权、计费可独立运行在不同服务器上

实验拓扑图1-1 实验需求I.按照图示配置 IP 地址 II.配置 OSPF 实现单播路由互通 III.配置 PIM-SM 实现组播路由互通，C-BSR 和 C-RP 为 R2 的 Loopback0 口 实验解法I.配置 IP 地址部分略 II.配置 OSPF 部分略 III.配置 PIM-SM 实现组播路由互通，C-BSR 和 C-RP 为 R2 的 Loopback0 口 步骤 1：在 R1 上开启组播应用，配置 PIM，并在 G0/0，G0/1 口开启 PIM-SM 模式 123456789101112HUAWEI：[R1]muticast routing-enable[R1]pim[R1-G 0/0/0]pim sm[R1-G 0/0/1]pim sm[R1-G 0/0/2]pim smH3C：[R1]muticast routing[R1]pim[R1-GigabitEthernet0/0]pim sm[R1-GigabitEthernet0/1]pim sm[R1-GigabitEthernet0/2]pim sm 步骤 2：在 R3上开 ...

概述用于建立和维护组播路由 常见组播路由协议DVMRP RIP组播报文 要求单播使用RIP MOSPT OSPF组播版本 要求单播使用OSPFv2 PIM 协议无关组播 对单播路由来源无要求 PIM-DM定义 RIM密集模式 假定网络中组播接收者较多，且分部于大部分设备上，采用推的方式分发组播数据 适用于小规模组播网络 邻居发现机制 PIM路由器之间周期性发送Hello报文来发现，建立和维护邻居关系 如网段中IGMP版本是v1，则Hello报文可以选举查询器 运行机制 PIM-SM定义 PIM稀疏模式 适用于任何规模的网络 采取拉的方式，根据接收者的需求，在组播接收者和组播源之间建立组播分发树 无论网段中的IGMP版本是什么版本，都通过Hello报文选举查询器 邻居发现机制 PIM路由器之间周期性发送Hello报文来发现，建立和维护邻居关系 如网段中IGMP版本是v1，则Hello报文可以选举查询器 运行机制 PIM-SSM 组播接收者通过IGMPv3感知到组播源地址 接收者一侧DR向组播源发起Join报文，建立SPT 相关命令1234567[h ...

组播分发树定义 组播数据在网络中的转发路径 由组播路由器协议建立 分类 SPT 最短路径树 为每个组播源分别建立一条到达接收者的最短路径 可保证组播转发低延迟 需要维护的路径数量太多 RPT 共享树 建立一条所有组播源到所有接收者的共享路径 只需要维护少量的组播路径 无法保证每个组播源到接收者是最优路径 RPF机制定义 逆向路径转发 工作机制 组播数据包到达路由器后，执行RPF检查 如果数据包是在到达组播源的最优路径上到达，则RPF检查成功，数据被转发 如果RPF检查失败，则丢弃数据包 RPF检查基于单播路由器

定义组播组管理协议 功能管理主机加入和离开组播组 维护本地组播组信息表 IGMPv1主机加入 I.路由器向开启了IGMP的端口发送查询报文，询问该接口下有没有组播接收者 II.收到查询报文的主机，如果希望接收某个组的组播，则向路由器回复report报文，把希望加入的组播组地址通告给路由器；如果不希望接收任何组播，则不回复 III.收到report报文后，路由器就会在本地建立组播信息表，记录改组的（*、G）表项，后续将会转发该组组播 主机离开 默默离开 当路由器在后续的查询报文中没有收到某个组的report报文时，路由器将会把该组的（*、G）表项删除，不再转发该组组播 查询器选举 一个网段中只能有一个路由器负责处理组播，该路由器就是查询器 IGMPv1没有查询器选举机制，只能依靠上层组播路由协议选举 成员报告抑制机制 主机以组播224.0.0.1的地址发送report报文，该报文会发送至其他主机 收到该report报文的主机会启动计时器（10s）;在该计时器时间内，如果本机也希望加入该组播组，不会重复发送report报文 主机希望加入某个组播组，不用等到路由器发送 ...