增强分析和配置中小型企业网络的综合能力

本实验模拟了一个企业网络场景，其中R1为公司总部的路由器，交换机S1，S2，S3，S4，服务器，终端等设备组成了公司总部的园区网，R2，R3，R4为公司分部的路由器。

公司总部的园区网划分了不同的VLAN。为了防止二层环路及提高交换机的抗攻击性，每台交换机都需要运行RSTP协议，同时配置RSTP保护功能。

在公司总部网络中，R1,S1,R2运行OSPF协议，并需要通过配置OSPF认证功能来提高安全性。由于种种原因，S3和S4不能运行OSPF路由协议，所以网络管理员需要将用户网段的路由引入OSPF进程，在路由引用的同时还需要实现路由聚合。

公司分部网络使用了IS-IS路由协议作为IGP，公司总部网络与公司分部网络之间通过BGP路由协议实现互通，同时，总部与分部之间的通信还需要满足负载分担等许多特别的要求，这些要求将在实验步骤中进行具体的说明。

实验拓扑如图所示

在公司总部园区网的S1、S2、S3、S4上创建VLAN10、20、30、110、120、130；并在四个交换机上并配置Mux VLAN，其中Server 1的VLAN 20属于Principal VLAN(主VLAN)，PC-1和PC-2的VLAN 10属于Group VLAN(互通型从VLAN)，PC-3和PC-4的VLAN 30属于Separarte VLAN(隔离型从VLAN)。

sys

[Huawei]sysname R1

[R1]int loop 0

[R1-LoopBack0]ip add 1.1.1.1 24

[R1-LoopBack0]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.15.1 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 192.168.16.1 24

[R1-GigabitEthernet0/0/1]int g0/0/2

[R1-GigabitEthernet0/0/2]ip add 192.168.12.1 30

[R1-GigabitEthernet0/0/2]int g0/0/3

[R1-GigabitEthernet0/0/3]ip add 192.168.13.1 30

sys

[Huawei]

[Huawei]sysname AR2

[AR2]int loop 0

[AR2-LoopBack0]

[AR2-LoopBack0]ip add 2.2.2.2 24

[AR2-LoopBack0]int g0/0/0

[AR2-GigabitEthernet0/0/0]ip add 192.168.12.2 30

[AR2-GigabitEthernet0/0/0]int g0/0/1

[AR2-GigabitEthernet0/0/1]ip add 192.168.24.2 24

sys

[Huawei]sysname AR3

[AR3]int loop 0

[AR3-LoopBack0]ip add 3.3.3.3 24

[AR3-LoopBack0]int g0/0/1

[AR3-GigabitEthernet0/0/1]ip add 192.168.13.3 30

[AR3-GigabitEthernet0/0/1]int g0/0/2

[AR3-GigabitEthernet0/0/2]ip add 192.168.34.3 24

sys

[Huawei]sysname AR4

[AR4]int loop 0

[AR4-LoopBack0]ip add 4.4.4.4 24

[AR4-LoopBack0]int loop 1

[AR4-LoopBack1]ip add 14.14.14.14 24

[AR4-LoopBack1]int g0/0/1

[AR4-GigabitEthernet0/0/1]ip add 192.168.24.4 24

[AR4-GigabitEthernet0/0/1]int g0/0/2

[AR4-GigabitEthernet0/0/2]ip add 192.168.34.4 24

LSW1和LSW3相连接的接口为access端口，允许VLAN 20通过其余四台交换机相连接口为Trunk

sys

[Huawei]sysname LSW1

[LSW1]vlan batch 20 56 57

[LSW1]int vlanif 20

[LSW1-Vlanif20]ip add 20.20.10.1 24

[LSW1-Vlanif20]int vlanif 56

[LSW1-Vlanif56]ip add 192.168.15.2 24

[LSW1-Vlanif56]int vlanif 57

[LSW1-Vlanif57]ip add 192.168.56.2 24

[LSW1-Vlanif57]q

[LSW1]int g0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1-GigabitEthernet0/0/2]int g0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type trunk

[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all

[LSW1-GigabitEthernet0/0/3]int g0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 57

[LSW1-GigabitEthernet0/0/1]int g0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 56

sys

[Huawei]sysname LSW2

[LSW2]vlan batch 66 67 110 120 130

[LSW2]int vlanif 110

[LSW2-Vlanif110]ip add 60.20.10.1 24

[LSW2-Vlanif110]int vlanif 120

[LSW2-Vlanif120]ip add 60.20.20.1 24

[LSW2-Vlanif120]int vlanif 130

[LSW2-Vlanif130]ip add 60.60.30.1 24

[LSW2-Vlanif130]int vlanif 66

[LSW2-Vlanif66]ip add 192.168.16.6 24

[LSW2-Vlanif66]int vlanif 67

[LSW2-Vlanif67]ip add 192.168.56.6 24

[LSW2]int g0/0/2

[LSW2-GigabitEthernet0/0/2]port link-type trunk

[LSW2-GigabitEthernet0/0/2]port trunk all vlan 10 20 30 110 120 130

[LSW2-GigabitEthernet0/0/2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]port link-type trunk

[LSW2-GigabitEthernet0/0/3]port trunk all vlan 10 20 30 110 120 130

[LSW2-GigabitEthernet0/0/3]int g0/0/1

[LSW2-GigabitEthernet0/0/1]port link-type access

[LSW2-GigabitEthernet0/0/1]port default vlan 67

[LSW2-GigabitEthernet0/0/1]int g0/0/4

[LSW2-GigabitEthernet0/0/4]port link-type access

[LSW2-GigabitEthernet0/0/4]port default vlan 66

(只有接口是access才能配置MUX-VLAN)

sys

[LSW3]sys LSW3

[LSW3]int g0/0/2

[LSW3-GigabitEthernet0/0/2]port link-type access

[LSW3-GigabitEthernet0/0/2]port default vlan 20

[LSW3-GigabitEthernet0/0/2]int g0/0/1

[LSW3-GigabitEthernet0/0/1]port link-type trunk

[LSW3-GigabitEthernet0/0/1]port trunk all vlan 10 20 30 110 120 130

[LSW3-GigabitEthernet0/0/1]q

[LSW3]vlan batch 10 20 30

[LSW3]vlan 20

[LSW3-vlan20]mux-vlan

[LSW3-vlan20]subordinate group 10

[LSW3-vlan20]subordinate separate 30

[LSW3-vlan20]int e0/0/1

[LSW3-Ethernet0/0/1]port mux-vlan enable

[LSW3-Ethernet0/0/1]port link-type access

[LSW3-Ethernet0/0/1]port default vlan 20

[LSW3-Ethernet0/0/1]int e0/0/2

[LSW3-Ethernet0/0/2]port mux-vlan enable

[LSW3-Ethernet0/0/2]port link-type access

[LSW3-Ethernet0/0/2]port default vlan 10

[LSW3-Ethernet0/0/2]int e0/0/3

[LSW3-Ethernet0/0/3]port mux-vlan enable

[LSW3-Ethernet0/0/3]port link-type access

[LSW3-Ethernet0/0/3]port default vlan 10

[LSW3-Ethernet0/0/3]int e0/0/4

[LSW3-Ethernet0/0/4]port mux-vlan enable

[LSW3-Ethernet0/0/4]port link-type access

[LSW3-Ethernet0/0/4]port de vlan 30

[LSW3-Ethernet0/0/4]int e0/0/5

[LSW3-Ethernet0/0/5]port mux-vlan enable

[LSW3-Ethernet0/0/5]port link-type access

[LSW3-Ethernet0/0/5]port de vlan 30

sys

[Huawei]sys LSW4

[LSW4]int g0/0/1

[LSW4-GigabitEthernet0/0/1]port link-type trunk

[LSW4-GigabitEthernet0/0/1]port trunk all vlan 10 20 30 110 120 130

[LSW4-GigabitEthernet0/0/1]int g0/0/2

[LSW4-GigabitEthernet0/0/2]port link-type trunk

[LSW4-GigabitEthernet0/0/2]port trunk all vlan 10 20 30 110 120 130

[LSW4-GigabitEthernet0/0/2]vlan 110

[LSW4-vlan110]mac-vlan mac-address 5489-98AF-781B

[LSW4-vlan110]int e0/0/1

[LSW4-Ethernet0/0/1]port hybrid untagged vlan all

[LSW4-Ethernet0/0/1]mac-vlan enable

1.在LSW4中通过MAC地址绑定将Server 2添加到VLAN 100

2.在LSW3中MUX-VLAN结果(互通型与隔离型)

3.在LSW1与LSW2中VLAN信息

在S1、S2、S3、S4配置RSTP，S1为根交换机，S2为备份根交换机，并在四个交换机上配置TC-BPDU保护，S2上启用根保护特性，S3和S4配置边缘端口。

[LSW1]stp mode rstp

[LSW1]stp root primary

[LSW1]int g0/0/3

[LSW1-GigabitEthernet0/0/3]stp root-protection

[LSW1-GigabitEthernet0/0/3]stp tc-protection

[LSW1]stp tc-protection threshold 2

[LSW2]stp mode rstp

[LSW2]stp root secondary

[LSW2]int g0/0/2

[LSW2-GigabitEthernet0/0/2]stp root-protection

[LSW2-GigabitEthernet0/0/2]int g0/0/3

[LSW2-GigabitEthernet0/0/3]stp root-protection

[LSW2-GigabitEthernet0/0/3]stp tc-protection

[LSW2]stp tc-protection threshold 2

[LSW3]stp mode rstp

[LSW3]stp tc-protection

[LSW3]stp tc-protection threshold 2

[LSW3]int e0/0/1

[LSW3-Ethernet0/0/1]stp edged-port enable

[LSW3-Ethernet0/0/1]int e0/0/2

[LSW3-Ethernet0/0/2]stp edged-port enable

[LSW3-Ethernet0/0/2]int e0/0/3

[LSW3-Ethernet0/0/3]stp edged-port enable

[LSW3-Ethernet0/0/3]int e0/0/4

[LSW3-Ethernet0/0/4]stp edged-port enable

[LSW3-Ethernet0/0/4]int e0/0/5

[LSW3-Ethernet0/0/5]stp edged-port enable

[LSW3-Ethernet0/0/5]stp bpdu-protection

[LSW4]stp mode rstp

[LSW4]stp tc-protection

[LSW4]stp tc-protection threshold 2

[LSW4]int e0/0/1

[LSW4-Ethernet0/0/1]stp edged-port enabl

[LSW4-Ethernet0/0/1]stp bpdu-protection

1.在LSW3和LSW4中查看当前端口角色信息、TC-BPDU保护、边缘端口

2.在LSW1和LSW2中跟交换机与备份交换机

从图中可以看出LSW1优先级为0，LSW2优先级为4096，LSW1成为根网桥,LSW2成为备用根网桥

3.在LSW1和LSW2中置指定端口保护

在S1、S2、R1之间使用OSPF路由协议，需配置认证功能，并将LSA的更新时间间隔和被接受的时间间隔设置为0秒，以加快OSPF的收敛速度。把S1上的VLANIF 20和S2上的VLANIF 110、VLANIF 120、VLANIF 130所对应的网段引入OSPF进程，同时需要实现VLANIF 20、VLANIF 110、VLANIF 120路由聚合。

[R1]ospf router-id 1.1.1.1

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]net 1.1.1.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 192.168.15.1 0.0.0.0

[R1-ospf-1-area-0.0.0.0]network 192.168.16.1 0.0.0.0

为了提高网络的安全性，R1 LSW1 LSW2需要相互通过认证才能交换路由信息。

做OSPF的区域认证，简单的明文，密钥为Jack20

[R1-ospf-1]ospf

[R1-ospf-1]area 0

[R1-ospf-1-area-0.0.0.0]authentication-mode simple plain Jack20

[LSW1]ospf router-id 5.5.5.5

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]network 192.168.15.2 0.0.0.0

[LSW1-ospf-1-area-0.0.0.0]network 192.168.56.2 0.0.0.0

[LSW1]ospf

[LSW1-ospf-1]import-route direct

[LSW1-ospf-1]asbr-summary 20.20.0.0 255.255.0.0

[LSW1-ospf-1]q

使用了md5密码密钥验证方式

[LSW1]ospf

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]authentication-mode md5 1 Jack20

[LSW2]ospf router-id 6.6.6.6

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]network 192.168.16.6 0.0.0.0

[LSW2-ospf-1-area-0.0.0.0]network 192.168.56.6 0.0.0.0

[LSW2]ospf

[LSW2-ospf-1]import-route direct

[LSW2-ospf-1]asbr-summary 60.20.0.0 255.255.224.0

[LSW2-ospf-1]ospf

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]authentication-mode simple plain Jack20

1.在R1中查看邻居的建立

2.在LSW1和LSW2中查看邻居的建立

通过以上2个OSPF邻居建立的查看，看出在区域中A1与LSW1与LSW2已经成功建立关系，可以成功实现公司总部和公司分部之间的相互通讯

在AR2、AR3、AR4之间配置IS-IS路由协议，并为路由器配置为IS-IS level-1路由器，以减少邻居关系和精简链路状态数据库

[AR2]isis

[AR2-isis-1]network-entity 49.0001.0000.0002.00

[AR2-isis-1]is-name R2

[AR2-isis-1]is-level level-1

[AR2-isis-1]int loop 0

[AR2-LoopBack0]isis enable

[AR2-LoopBack0]int g0/0/1

[AR2-GigabitEthernet0/0/1]isis enable

[AR3]isis

[AR3-isis-1]network-entity 49.0001.0000.0003.00

ed all ISIS modules.

[AR3-isis-1]is-name R3

[AR3-isis-1]is-level level-1

[AR3-isis-1]int loopback 0

[AR3-LoopBack0]isis enable

[AR3-LoopBack0]int g0/0/2

[AR3-GigabitEthernet0/0/2]isis enable

[AR4]isis

[AR4-isis-1]network-entity 49.0001.0000.0004.00

[AR4-isis-1]is-name R4

[AR4-isis-1]is-level level-1

[AR4-isis-1]int loop 0

[AR4-LoopBack0]isis enable

[AR4-LoopBack0]int loop 1

[AR4-LoopBack1]isis enable

[AR4-LoopBack1]int g0/0/1

[AR4-GigabitEthernet0/0/1]isis enable

[AR4-GigabitEthernet0/0/1]int g0/0/2

[AR4-GigabitEthernet0/0/2]isis enable

1.在AR4中查看IS-IS邻居关系

ISIS建立成功且AR2、AR3、AR4均成功设置为level-1路由器

2.在AR2、AR3、AR4中检查IS-IS在接口的启用状况和DIS

从图中可以看出AR2、AR3和AR4在一个广播网络下建立邻居，因此需要选举DIS，默认情况下，DIS优先级都为64，如果优先级相同MAC地址大的接口将成为DIS

3.在AR2、AR3、AR4中路由表

AR2过滤32位子网掩码后精简版路由表

AR4完整路由表

AR4已经成功通过IS-IS协议获得了AR2、A R3的网段的路由

在R1、R2、R3、R4之间配置BGP路由协议，并在R1上将OSPF引入BGP进程，在R2和R3上将IS-IS路由引入BGP进程；同时为了R4可以获取到总部网络的BGP路由条目，需要在R2和R3上将R4的Loopback 0的IP地址设置为向IBGP对等体发布路由时的下一跳地址。然而，总公司不希望分公司分部访问60.20.30.0/24网段，在R1上使用路由策略在引入OSPF路由时过滤掉这个网段的路由。为了使S1和S2获取到公司分部网络的路由，需要在R1上配置OSPF非强制方式下转发缺省路由，同时要在R2和R3上配置BGP下转发缺省路由给R1，使得R1的路由表中存在一条来自BGP的缺省路由。

[R1]bgp 100

[R1-bgp]router-id 1.1.1.1

[R1-bgp]peer 192.168.12.2 as-number 200

[R1-bgp]peer 192.168.13.3 as-number 200

[R1-bgp]q

[R1]bgp 100

[R1-bgp]import-route ospf 1

[R1-bgp]q

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 60.2.30.0 0.0.0.255

[R1-acl-basic-2000]route-policy 10 deny node 1

[R1-route-policy]if-match acl 2000

[R1-route-policy]route-policy 10 permit node 2

[R1-route-policy]bgp 100

[R1-bgp]import-route ospf 1 route-policy 10

[R1-bgp]q

[R1]ospf

[R1-ospf-1]default-route-advertise

[AR2]bgp 200

[AR2-bgp]router-id 2.2.2.2

[AR2-bgp]peer 192.168.12.1 as-number 100

[AR2-bgp]peer 4.4.4.4 as-number 200

[AR2-bgp]peer 4.4.4.4 connect-interface loopback 0

[AR2-bgp]peer 4.4.4.4 next-hop-local

[AR2-bgp]q

[AR2]bgp 200

[AR2-bgp]import-route isis 1

[AR2-bgp]q

[AR2]bgp 200

[AR2-bgp]peer 192.168.12.1 default-route-advertise

[AR3]bgp 200

[AR3-bgp]router-id 3.3.3.3

[AR3-bgp]peer 192.168.13.1 as-number 100

[AR3-bgp]peer 4.4.4.4 as-number 200

[AR3-bgp]peer 4.4.4.4 connect-interface loopback 0

[AR3-bgp]peer 4.4.4.4 next-hop-local

[AR3-bgp]q

[AR3]bgp 200

[AR3-bgp]import-route isis 1

[AR3-bgp]q

[AR3]bgp 200

[AR3-bgp]peer 192.168.13.1 default-route-advertise

[AR4]bgp 200

[AR4-bgp]router-id 4.4.4.4

[AR4-bgp]peer 2.2.2.2 as-number 200

[AR4-bgp]peer 2.2.2.2 connect-interface loopback 0

[AR4-bgp]peer 3.3.3.3 as-number 200

[AR4-bgp]peer 3.3.3.3 connect-interface loopback 0

1.在AR2、AR4中查看BGP

可以看到4台路由器之间的BGP邻居关系处于Established状态，说明邻居关系已成功建立。

2.在R1、AR2中查看TCP端口连接状态

从图中可以看到Local Add为2.2.2.2(即为AR2的Loopback0接口 地址)，端口号为179(BGP协议的TCP端口号)。与4.4.4.4和192.168.12.1的状态已经为Established，说明AR2和R1、AR4的TCP连接已建立。

3.在R1中路由表

R1过滤32位子网掩码类地址后精简版路由表

3.7AAA与Telnet管理

在、AR2、AR3、AR4、LSW1、LSW2之间配置AAA与Telnet管理，此时图中的PC6和PC7利用串口分别连接到公司总部分部路由器与交换机，用于实现Telnet管理。

R1、AR2、AR3、AR4、LSW1、LSW2之间做相同配置：

用户名设置为Jack20，密码为201802010320

[AR2]telnet server enable  //开启Telnet服务

[AR2]user-interface vty 0 4      //进入0～4的VTY用户界面视图

[AR2-ui-vty0-4]authentication-mode aaa   //配置VTY用户界面的验证方式为aaa

[AR2-ui-vty0-4]aaa

[AR2-aaa]local-user Jack20 password cipher 201802010320

//配置本地用户user1的接入类型为Telnet，该用户只能使用Telnet方式登录

[AR2-aaa]local-user Jack20 service-type telnet

//配置本地用户user1的用户级别为3，该用户登录后可以执行0~3级的命令

[AR2-aaa]local-user Jack20 privilege level 3

1.在PC6中通过AR4成功远程登录到AR3中

2.在PC7中通过LSW1成功远程登录到LSW2、R1中

这样在组网中利用Telnet就可以很轻松的通过一台电脑就可以配置和查看组网中公司总部和分部中的所有交换机与路由器，实现安全维护、方便快捷。

通过对分析和配置中小型企业网络的综合实验的实践，我们学会了很多东西，也很实用：

1)OSPF单区域

2)OSPF多区域.

3)OSPF的邻接关系和LSA

4)OSPF STUB区域与NSSA区域

5)OSPF电路和区域路过滤

OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。

链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 　　开放最短路径协议(OSPF)协议不仅能计算两个网络结点之间的最短路径，而且能计算通信费用。可根据网络用户的要求来平衡费用和性能，以选择相应的路由。在一个自治系统内可划分出若干个区域，每个区域根据自己的拓扑结构计算最短路径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化。每个路由器都维护一个相同的、完整的全网链路状态数据库。这个数据库很庞大，寻径时， 该路由器以自己为根，构造最短路径树，然后再根据最短路径构造路由表。路由器彼此交换，并保存整个网络的链路信息，从而掌握全网的拓扑结构，并独立计算路由。

为了提供对IP路由的支持，通过对IS-IS进行扩充和修改，使IS-IS能够同时应用在TCP/IP和OSI环境中，形成了集成化IS-IS(Integrated IS-IS或Dual IS-IS)。现在提到的IS-IS协议都是指集成化的IS-IS协议，主要用于城域网和承载网。

IS-IS属于内部网关路由协议，用于自治系统内部。IS-IS是一种链路状态协议，与TCP/IP网络中的OSPF协议非常相似，使用最短路径优先算法进行路由计算。

ISO网络和IP网络的网络层地址的编址方式不同。IP网络的三层地址是常见的IPv4地址或IPv6地址，IS-IS协议将ISO网络层地址称 NSAP(Network Service Access Point，网络服务接入点)，用来描述ISO模型的网络地址结构。

运行IS-IS协议的网络包含了终端系统、中间系统、区域(Area)和路由域。一个路由器是Intermediate System(IS)，一个主机就是End System(ES)。主机和路由器之间运行的协议称为ES-IS，路由器与路由器之间运行的协议称为IS-IS。区域是路由域的细分单元，IS-IS允许将整个路由域分为多个区域，IS-IS就是用来提供路由域内或一个区域内的路由。

1)IBGP与EBGP

2)BGP路由汇总

3)BGP属性与路径选择

4)BGP多宿主

BGP属于外部或域间路由协议。BGP的主要目标是为处于不同AS中的路由器之间进行路由信息通信提供保障。BGP既不是纯粹的矢量距离协议，也不是纯粹的链路状态协议，通常被称为通路向量路由协议。这是因为BGP在发布到一个目的网络的可达性的同时，包含了在IP分组到达目的网络过程中所必须经过的AS的列表。通路向量信息时十分有用的，因为只要简单地查找一下BGP路由更新的AS编号就能有效地避免环路的出现。BGP对网络拓扑结构没有限制，其特点包括：

(1)实现自治系统间通信，传播网络的可达信息。BGP 是一个外部网关协议，允许一个AS与另一个AS进行通信。BGP允许一个AS向其他AS通告其内部的网络的可达性信息，或者是通过该AS可达的其他网络的路由信息。同时，AS也能够从另一个AS中了解这些信息。与距离向量选路协议类似，BGP为每个目的网络提供的是下一跳(next-hop)结点的信息。

(2)多个BGP路由器之间的协调。如果在一个自治系统内部有多个路由器分别使用BGP与其他自治系统中对等路由器进行通信，BGP可以协调者一系列路由器，使这些路由器保持路由信息的一致性。

(3)BGP支持基于策略的选路(policy-base routing)。一般的距离向量选路协议确切通告本地选路中的路由。而BGP则可以实现由本地管理员选择的策略。BGP路由器可以为域内和域间的网络可达性配置不同的策略。

(4)可靠的传输。BGP路由信息的传输采用了可靠地TCP协议。

(5)路径信息。在BGP通告目的网络的可达性信息时，处理指定目的网络的下一跳信息之外，通告中还包括了通路向量(path vector)，即去往该目的网络时需要经过的AS的列表，使接受者能够了解去往目的网络的通路信息。

(6)增量更新。BGP不需要再所有路由更新报文中传送完整的路由数据库信息，只需要在启动时交换一次完整信息。后续的路由更新报文只通告网络的变化信息。这种网络变化的信息称为增量(delta)。

(7)BGP支持无类型编制(CIDR)及VLSM方式。通告的所有网络都以网络前缀加子网掩码的方式表示。

(8)路由聚集。BGP允许发送方把路由信息聚集在一起，用一个条目来表示多个相关的目的网络，以节约网络带宽。

(9)BGP还允许接收方对报文进行鉴别和认证，以验证发送方的身份。

1)VLAN配置

2)MUX-VLAN

3)VLAN间通信

虚拟局域网(VLAN)是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样。

虚拟局域网优点是网络设备的移动、添加和修改的管理开销减少，可以控制广播活动，可提高网络的安全性。

MUX VLAN提供了一种在VLAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUX VLAN通常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。从而对企业内部的资源共享及安全通信起到了至关重要的作用。

MUX-VLAN分为主VLAN和从VLAN，从VLAN又分为隔离型从VLAN和互通型从VLAN。

主VLAN(Principal VLAN)：Principal port可以和MUX VLAN内的所有接口进行通信。

隔离型从VLAN(Separate VLAN)：Separate port只能和Principal port进行通信，和其他类型的接口实现完全隔离。每个隔离型从VLAN必须绑定一个主VLAN。

互通型从VLAN(Group VLAN)：Group port可以和Principal port进行通信，在同一组内的接口也可互相通信，但不能和其他组接口或Separate port通信。每个互通型从VLAN必须绑定一个主VLAN。

1)STP、RSTP与MSTP

2)MSTP多区域与STP的兼容

STP协议由IEEE802.1D定义，RSTP由IEEE802.1W定义。STP的基本原理是，通过交换机之间传递一种特殊的协议报文(在IEEE 802.1D中这种协议报文被称为“配置消息”)来确定网络的拓扑结构。配置消息中包含了足够的信息来保证交换机完成生成树计算。

RSTP是从STP发展过来的，其实现基本思想一致，但它更进一步的处理了网络临时失去连通性的问题。Rstp规定在某些情况下，处于Blocking状态的端口不必经历2倍的Forward Delay时延而可以直接进入转发状态。如网络边缘端口(即直接与终端相连的端口)，可以直接进入转发状态，不需要任何时延。或者是网桥旧的根端口已经进入Blocking状态，并且新的根端口所连接的对端网桥的指定端口仍处于Forwarding状态，那么新的根端口可以立即进入Forwarding状态。即使是非边缘的指定端口，也可以通过与相连的网桥进行一次握手，等待对端网桥的赞同报文而快速进入Forwarding状态。当然，这有可能导致进一步的握手，但握手次数会受到网络直径的限制。

MSTP(Multiple Spanning Tree Protocol，多生成树协议)将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛，也能使不同VLAN 的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。

4.6AAA与Telnet

AAA是Authentication，Authorization and Accounting(认证、授权和计费)的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证，这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。一般来讲，鉴别过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、AAA服务器(Authentication 、Authorization和Accounting Server)。在第三代移动通信系统的早期版本中，用户也称为MN(移动节点)，Authenticator在NAS(Network Access Server)中实现，它们之间采用PPP协议，认证器和AAA服务器之间采用AAA协议(以前的方式采用远程访问拨号用户服务RADIUS(Remote Access Dial up User Service)；Raduis英文原意为半径，原先的目的是为拨号用户进行鉴别和计费。后来经过多次改进，形成了一项通用的鉴别计费协议)。

Telnet是Internet远程登录服务的标准协议和主要方式，最初由ARPANET开发，现在主要用于Internet会话，它的基本功能是允许用户登录进入远程主机系统。

Telnet可以让我们坐在自己的计算机前通过Internet网络登录到另一台远程计算机上，这台计算机可以在任何地方。当登录上远程计算机后，本地计算机就等同于远程计算机的一个终端，我们可以用自己的计算机直接操纵远程计算机，享受远程计算机本地终端同样的操作权限。

Telnet的主要用途就是使用远程计算机上所拥有的本地计算机没有的信息资源，如果远程的主要目的是在本地计算机与远程计算机之间传递文件，那么相比而言使用FTP会更加快捷有效。

当我们使用Telnet登录进入远程计算机系统时，事实上启动了两个程序：一个是Telnet客户程序，运行在本地主机上；另一个是Telnet服务器程序，它运行在要登录的远程计算机上。

本地主机上的Telnet客户程序主要完成以下功能：

(1)建立与远程服务器的TCP联接。

(2)从键盘上接收本地输入的字符。

(3)将输入的字符串变成标准格式并传送给远程服务器。

(4)从远程服务器接收输出的信息。

(5)将该信息显示在本地主机屏幕上。