实验介绍​

前缀列表

前缀列表即 IP-Prefix List，它可以将与所定义的前缀列表相匹配的路由，根据定义的匹配模式进行过滤。前缀列表中的匹配条目由IP 地址和掩码组成，IP 地址可以是网段地址或者主机地址，掩码长度的配置范围为 0~32，可以进行精确匹配或者在一定掩码长度范围内匹配

也可以通过配置关键字greater-equal和less-equal指定待匹配的前缀掩码长度范围。

前缀列表能同时匹配前缀号和前缀长度，主要用于路由的匹配和控制，不能用于数据包的过滤。

实验介绍​

高级ACL

基本的ACL只能用于匹配源IP地址，而在实际应用当中往往需要针对数据包的其他参数进行匹配，比如目的I地址、协议号、端口号等，所以基本的ACL由于匹配的局限性而无法实现更多的功能，所以就需要使用高级的访问控制列表。

高级的访问控制列表在匹配项上做了扩展，编号范围为3000~3999，既可使用报文的源IP地址，也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等信息来定义规则。

高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则，也因此得到更加广泛的应用。

实验介绍​

ACL

访问控制列表ACL(Access ControlList)是由permit 或deny语句组成的一系列有顺序的规则集合，这些规则根据数据包的源地址、目的地址、源端口、目的端口等信息来描述。ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这些规则判断哪些数据包可以通过，哪些数据包需要拒绝。

按照访问控制列表的用途，可以分为基本的访问控制列表和高级的访问控制列表，基本ACL可使用报文的源IP地址、时间段信息来定义规则，编号范围为2000~2999。

一个ACL可以由多条“deny/permit”语句组成，每一条语句描述一条规则，每条规则有一个Rule-ID。Rule-D可以由用户进行配置，也可以由系统自动根据步长生成，默认步长为5，Rule-ID默认按照配置先后顺序分配0、5、10、15等，匹配顺序按照ACL的Rule-ID的顺序，从小到大进行匹配。

实验介绍​

VRRP​

当VRRP配置为单备份组时，业务全部由Master设备承担，而Backup设备完全处于空闲状态，没有得到充分利用。VRRP可以通过配置多备份组来实现负载分担，有效地解决了这一问题。

VRRP允许同一台设备的同一个接口加入多个VRRP备份组，在不同备份组中有不同的优先级，使得各备份组中的Master设备不同，也就是建立多个虚拟网关路由器。各主机可以使用不同的虚拟组路由器作为网关出口，这样可以达到分担数据流而又相互备份的目的，充分利用了每一台设备的资源。

VRRP的优先级取值范围中，255是保留给IP地址拥有者使用的，当一个VRRP路由器的物理端口IP地址和虚拟路由器的虚拟IP地址相同，这台路由器称为虚拟IP地址拥有者，VRRP优先级自动设置为255;优先级0也是特殊值，当Master设备删除VRRP配置停止运行VRRP时，会发送优先级为0的VRRP报文通知Backup设备，当Backup收到该消息后，立刻从Backup状态转为Master状态。

实验介绍​

RIP认证​

简单验证是一种基于密码的身份验证方法。在RIPV2中，路由器使用预共享的密码对报文进行验证。发送方和接收方都必须知道相同的密码才能通过验证。这种方法对于简单的网络环境来说是足够的，但是密码可能会被截获或破解，所以在更安全的环境中，可以考虑使用MD5密文验证。

MD5密文验证是一种更安全的验证方法。它使用基于MD5算法的散列函数来生成一个固定长度的密文。发送方使用密钥和报文的特定字段计算出一个密文，并将其附加到报文中。接收方使用相同的密钥和相同的字段计算出一个新的密文，并将其与接收到的密文进行比较。如果两者相等，说明报文没有被篡改过。

总之，RIPV2支持简单验证和MD5密文验证两种方法，可以根据网络环境的安全要求选择适合的验证方式。

实验介绍​

RIP​

RIP(Routing Information Protocol，路由协议)作为最早的距离矢量IP 路由协议，也是最先得到广泛使用的一种路由协议，采用了Bellman-Ford算法，其最大的特点就是配置简单。

RIP 协议要求网络中每一台路由器都要维护从自身到每一个目的网络的路由信息。RIP协议使用跳数来衡量网络间的“距离”:从一台路由器到其直连网络的跳数定义为 1，从一台路由器到其非直连网络的距离定义为每经过一个路由器则距离加1。“距离”也称为

允许路

由的最大跳数为15，因此，16即为不可达。可见RIP协议只适用于小型网络。

目前RIP有两个版本，RIPv1和RIPv2，RIPv2针对RIPv1进行扩充，能够携带更多的信息量，并增强了安全性能。RIPv1和RIPv2都是基于UDP的协议，使用UDP520号端口收发数据包。

实验介绍​

浮动路由与静态路由​

浮动静态路由(Floating Static Route)是一种特殊的静态路由，通过配置去往相同的目的网段，但优先级不同的静态路由，以保证在网络中优先级较高的路由，即主路由失效的情况下，提供备份路由。正常情况下，备份路由不会出现在路由表中。

负载均衡(Load sharing)，当数据有多条可选路径前往同一目的网络，可以通过配置相同优先级和开销的静态路由实现负载均衡，使得数据的传输均衡地分配到多条路径上，从而实现数据分流、减轻单条路径负载过重的效果。

而当其中某一条路径失效时，其他路径仍然能够正常传输数据，也起到了冗余作用。

实验介绍​

router-id

一些动态路由协议要求使用 Router-ID 作为路由器的身份标示，如果在启动这些路由协议时没有指定Router-ID，则默认使用路由器全局下的路由管理Router-ID。

Router-ID 选举规则为，如果通过Router-ID命令配置了Router-ID，则按照配置结果设置。在没有配置Router-ID的情况下，如果存在配置了IP地址的Loopback接口，则选择Loopback接口地址中最大的地址作为 Router-ID;如果没有已配置IP 地址的Loopback接口，则从其他接口的IP地址中选择最大的地址作为Router-ID(不考虑接口的Up/Down状态)

当且仅当被选为Router-ID的接口IP地址被删除/修改，才触发重新选择过程，其他情况(例如接口处于DOWN状态;已经选取了一个非Loopback接口地址后又配置了一个Loopback接口地址;配置了一个更大的接口地址等)不触发重新选择的过程。

实验介绍​

OSPF被动接口​

OSPF 被动接口的主要作用是减少网络中的 OSPF 消息洪泛，提高网络的性能和稳定性。具体来说，OSPF 被动接口的作用有以下几点：

1. 节省带宽：OSPF 被动接口不发送任何 OSPF 消息，只接收其他路由器发送的 OSPF 消息。这样可以避免在被动接口上发送大量的 OSPF 更新，节省了带宽资源。
2. 减少 CPU 消耗：被动接口不需要处理和生成 OSPF 消息，因此可以减轻路由器的 CPU 负载，使其可以更好地处理其他重要的任务。
3. 提高网络稳定性：通过减少洪泛的 OSPF 消息，可以减少网络中的拓扑变化通告，从而降低网络中的震荡和不稳定性。

OSPF 被动接口也称抑制接口，成为被动接口后，将不会接收和发送 OSPF 报文。

实验介绍​

OSPF协议认证

OSPF（Open Shortest Path First）协议支持基于认证的安全机制，用于确保 OSPF 消息的完整性和可信性。OSPF 认证可以防止未经授权的路由器加入 OSPF 域或篡改 OSPF 消息，提高网络的安全性。下面是 OSPF 认证的几个关键点：

认证类型：OSPF 支持明文认证和加密认证两种类型。

明文认证：在明文认证中，可以使用简单密码或密钥来进行认证。当路由器之间交换 OSPF 消息时，会使用明文密码进行验证。

加密认证：加密认证使用密钥对 OSPF 消息进行加密和解密。这样可以更好地保护认证信息的安全性。

认证域（Authentication Domain）：认证域是指在 OSPF 域中应用认证的范围。认证域可以是整个自治系统（AS）或特定的区域（Area）。

认证密钥：认证密钥是用于进行认证的密码或密钥。每个 OSPF 路由器在进行认证时需要使用相同的密钥。

认证配置：在 OSPF 配置中，需要指定认证类型和认证密钥。认证配置可以应用于整个自治系统或特定的区域。

需要注意的是，为了使 OSPF 认证生效，所有参与 OSPF 的路由器都必须配置相同的认证类型和密钥。如果认证配置不一致，可能会导致路由器无法建立邻居关系或交换 OSPF 消息。

OSPF 认证提供了一定程度的网络安全，但并不是完全安全的。为了确保网络的安全性，还应考虑其他安全机制，如访问控制列表（ACL）、身份认证协议等。