本文详细介绍了路由器的配置方法,包括负载均衡的实现、环回接口的使用、手工汇总路由的优化以及如何避免路由黑洞。同时,讨论了缺省路由的作用和配置,以及静态路由与动态路由的优缺点。动态路由中,重点讲解了RIP协议的工作原理、版本差异、环路问题及其解决策略,并展示了RIP的基础配置和拓展配置。此外,提到了访问控制列表(ACL)在流量控制和策略中的应用。
一、拓展配置
1.负载均衡—当对于路由器而言,去往一个目标网段,具有相同或者相似的开销,那么可以同时写多条路径,形成负载均衡(主要目的是流量的分流)
2.环回接口(只对本地有效)—模拟用户网段、做测试
用来测试的接口—模拟用户网段—节省硬件资源
[Huawei]interface LoopBack 1
[Huawei]ping -a 192.168.1.1 2.2.2.2—可以指定ping的源IP和目标IP,如果不指定,则路由器会递归路由表,使用递归到的接口IP地址作为源
举例:环回接口的步骤
[r1]interface LoopBack 0—进入环回接口
[r1]interface LoopBack0]ip address 192.168.1.1 255.255.255.0—配置IP地址(配置的是一个新的网段因为是一个新的广播域)—模拟用户网段
3.手工汇总(优化配置,加快路由器收敛,优化网络转化效率,递归速度快,节省时间)
前提条件—当路由器访问目标网段具备相同的下一跳,同时这些目标网段是连续的(具备汇总条件)的情况下,我们可以进行汇总,写一条去往汇总网段的路由(下一跳一致,网段可以汇总)
192.168.1.0=192.168.00000001.00000000 24
192.168.2.0=192.168.00000010.00000000 24
子网汇总(取相同去不同):192.168.00000000.00000000 22
[Huawei]ip route-static 192.168.0.0 22 12.0.0.1
192.168.00000000.00000000 22(将网络位22变为24应该有四个如下)
192.168.00000000.00000000 24
192.168.00000001.00000000 24
192.168.00000010.00000000 24
192.168.00000011.00000000 24
合理的规划IP地址能够尽量减少黑洞的产生,但是不能完全避免
举例:手工汇总的步骤
打开r1
<Huawei>sys
[Huawei]sys r1
[r1]interface LoopBack 0
[r1-LoopBack0]ip address 192.168.0.1 24
[r1-LoopBack0]q
[r1]interface LoopBack 1
[r1-LoopBack1]ip address 192.168.1.1 24
[r1]int GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 12.0.0.1 24
打开r2
<Huawei>sys
[Huawei]sys r2
[r2]interface LoopBack 0
[r2-LoopBack0]ip address 192.168.2.1 24
[r2-LoopBack0]q
[r2]interface LoopBack 1
[r2-LoopBack1]ip address 192.168.3.1 24
[r2-LoopBack0]q
[r2]int GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ip address 12.0.0.2 24
打开r1
[r1-GigabitEthernet0/0/0]q
[r1]display ip routing-table
对于r1而言r2的网段都是未知网段,如果r1要访问r2那么就要写路由
对r2的网段进行子网汇总(取相同去不同):192.168.00000010.0 24
192.168.00000011.0 24
192.168.00000010.0=192.168.2.0 23
<r1>system-view
[r1]ip route-static 192.168.2.0 23 12.0.0.2
[r1]ping 192.168.2.1
[r1]ping 192.168.3.1
[r1]display ip routing-table protocol static
打开r2
[r2-GigabitEthernet0/0/0]q
<r2>display ip routing-table
4.路由黑洞(浪费链路资源)—访问一个网络中不存在的网段
在汇总路由中,包含真实环境下实际不存在的网段,就会导致流量有去无回的现象,造成链路资源的浪费
汇总网段中,某些子网消失或者不存在,就会产生产生路由黑洞
合理的IP地址规划,能够尽量减少路由黑洞的产生,但实际上是无法避免的
5.缺省路由(成环、帮助访问外网)
又叫默认路由,一条不限定目标的路由,查表时如果没有目标网段的路由则会匹配缺省
ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
一条不指定目标的路由(由于掩码为零,所以可以代表整个IP地址范围)
6.空接口(解决环路问题)
配置位置—黑洞路由器(不存在IP地址的流量的终点)
在黑洞路由器上写一条去往汇总网段的路由指向空接口
空接口路由—[Huawei]ip route-static 192.168.0.0 22 NULL 0——汇总网段的路由指向空接口
最长掩码匹配原则—路由表的匹配原则(优先级:最优先)
7.浮动静态路由—链路备份
优先级数字越大优先级反而越低
ip route-static 0.0.0.0 0.0.0.0 21.0.0.2 preference 61(优先级低于60)
二、动态路由
静态路由—由网络管理员手工配置的路由(中小型网络)
缺点:①在复杂网络环境,配置量大
②不能自行随着网络结构的变化从而自己完成收敛
优点:①占用资源少(链路资源、算法资源)
②安全性高
③可控性(人为控制自己写IP想让去哪就写哪)
动态路由—由运行同一种动态路由协议的设备通过沟通协商最终自行计算得出的路由(中大型网络)
缺点:①资源占用大
②安全性低
③可控制性差—可能出现环路(网络世界中绝对不允许出现的)
优点:①复杂网络环境下配置简单
②能够随着网络的变化自行完成收敛(通过自己沟通数据包最终把路由表补全)
动态路由的分类:
划分区域—根据区域大小来分
AS—自治系统(每一个自治系统内部运行的一定是同一种动态协议,而且这些网络都是由自己的某一个运营商进行管理的)
AS内部协议(一个AS自身的内部协议)—内部网关协议—RIP、OSPF、---ISIS、EIGRP(思科的内部协议)
AS外部协议( 两个AS之间的协议)—外部网关协议—BGP(EGP是BGP的前身)
AS号(AS的编号)—为了区别和标识不同的AS—区分和标识不同的自治系统
内部网关协议(运行在一个AS内部的协议):
根据动态路由协议使用的算法不同,大体上把动态路由协议分为两种:
距离矢量型路由协议—计算得出路由的方式—共享路由表—RIP
链路状态型路由协议—计算得出路由的方式—共享拓扑信息(告诉其他路由器接口编号是多少、接口IP是多少、接口网段是物理接口还是环回接口等等信息)—路由器周边的连接情况—根据路由器周边的连接情况,算出相应的路由—OSPF
RIP—共享自己路由表中的路由信息—中小型网络
通过RIP协议最多传输15跳的工作半径(就是最多只能经过15个路由器)
RIP路由表只共享:目标网段、掩码和开销值
目标网段和掩码
cost—开销值(数值越大优先级越低)—跳数(经过路由器的数量)
—同一种动态路由协议选路的重要依据—cost=本地路由表+1(比如第一个路由器发送到第二个路由器就是0+1)
选路依据不够科学
不同动态路由协议选路得到依据是优先级
静态优先级—60
RIP优先级—100
RIP的工作过程:贝尔曼-福特算法
①对于R2而言,如果我收到一条我本地路由表没有的路由信息则直接将该路由信息刷新到自己本地路由表中(发送的网段就是目标网段,哪个路由器发的网段就写这个路由器接口的IP作为下一跳 )
②对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源一致则刷新该路由信息到自己的本地路由表中
③对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值小,则不刷新
④对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值大,则刷新
RIP—V1(出版)V2(在V1的基础上做了一些改进和升级)—IPV4的网络环境
NG—IPV6的网络环境
V1和V2的区别
①V1是有类别(发送传递自己的数据包过程中不携带子网掩码,根据五类IP地址自己默认分配)的动态路由协议,V2是无类别(发送传递自己的数据包中携带子网掩码)的动态路由协议
②V1不支持手工认证,V2支持手工认证(发送的数据包携带密码)
③V1使用广播(强制洪泛)这种方式发送自己的数据包,V2使用组播(可以自己选择成员)这种方式传递自己的数据包—组播地址范围224.0.0.9
RIPV2
request—请求包
response—应答包—携带路由信息
RIPV2工作过程
①初始化阶段:RIP会向所有运行了RIP这种协议的接口发送RIP的请求包,用来请求邻居的路由表(RIP的邻居:直连的路由器)
②接收阶段:RIP的邻居收到请求包后,会将自身的路由表的路由信息打包(response)通过广播/组播发送出去
③判断阶段:根据贝尔曼-福特算法判断哪些信息需要加表(路由表)
RIP存在一个周期更新(异步更新)的机制—每隔30s会发送一个response包
RIP没有确认机制
RIP没有保活机制—RIP失效计时器(180s)
RIP只能告诉对端我能去哪,不能告诉对端我不能去哪
RIP的计时器:
周期更新计时器—30s
失效判断计时器—180s
垃圾回收计时器—120s
经过180s会将路由信息从自身路由表中删除,之后将该信息存储在缓存中,之后在更新包中会携带该路由信息,只不过cost=16—带毒传输
RIP算出的路径可能出现环路问题—缺失网段异步更新出现环路问题
RIP环路问题的解决方法:
①16跳
②触发更新(只能解决大部分环路机制)—当一个网段消失,不需要等待周期更新,直接发送
③水平分割(从根本上解决环路问题)—默认开启水平分割—从一个接口(注意是接口不是路由器)接收到的路由,将不再从这个接口发出
④毒性逆转(从根本上解决环路问题)—从一个接口(注意是接口不是路由器)接收到的路由,从这个接口发出的同时会携带cost=16
③和④不能同时进行,如果同时启动水平分割和毒性逆转,将按照毒性逆转的规则执行
RIP的基础配置:
打开路由器R1
<Huawei>sys
[Huawei]sysname r1
[r1]interface LoopBack 0
[r1-LoopBack0]ip address 192.168.1.1 24
[r1-LoopBack0]q
[r1]interface LoopBack 1
[r1-LoopBack1]ip address 192.168.2.1 24
[r1-LoopBack1]q
[r1]rip 1—启动RIP进程,具备本地意义和全局意义(两个路由器的进程号必须一致)
[r1-rip-1]version 2选择RIP版本2)
[r1-rip-1]network 12.0.0.0(A类地址)(根据RIP主类宣告,宣告自身和直连的网段)
[r1-rip-1]network 192.168.1.0(C类地址)
[r1-rip-1]network 192.168.2.0(C类地址)
打开路由器R2
<Huawei>sys
[Huawei]sysname r2
[r2]rip 1
[r2-rip-1]version 2
[r2-rip-1]network 12.0.0.0
[r2-rip-1]q
[r2]display ip routing-table
宣告两方面的作用:
①发布路由
②激活接口—只有被激活的接口才能正常的收发RIP的数据包
RIP支持负载均衡
RIPV2的拓展配置:
①手工认证(配置位置在接口)—对数据包进行加密—发送数据包的路由器和接收数据包的路由器都要配
打开R1
<Huawei>sys
[Huawei]sys r1
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip add 12.0.0.1 24
[r1-GigabitEthernet0/0/0]q
打开R2
<Huawei>sys
[Huawei]sys r2
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
[r2-GigabitEthernet0/0/0]q
打开R1
[r1]rip 1
[r1-rip-1]version 2
[r1-rip-1]network 12.0.0.0—主类宣告
[r1-rip-1]q
打开R2
[r2]rip 1
[r2-rip-1]version 2
[r2-rip-1]network 12.0.0.0—主类宣告
[r2-rip-1]q
打开R1
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456—配置位置(激活RIP协议的接口)
打开R1
[r1]int LoopBack 0
[r1-LoopBack0]ip add 192.168.1.1 24
[r1-LoopBack0]q
[r1]rip 1
[r1-rip-1]network 192.168.1.0
打开R2
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456
[r2-GigabitEthernet0/0/0]q
Simple—以明文的方式进行传输—数据包加密的密码谁都能看到
Md5—将密码压缩为定长数据,密码复杂没办法还原
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456—配置位置为接口
Cipher—本地密文存储
Plain—本地明文存储
注意本地密码存储方式、发送密码方式的发送端和接收端应保持一致
②手工汇总(谁发网段谁做汇总这个操作)
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]rip summary—address 192.168.1.0 255.255.255.0—配置位置为接口
③沉默接口(只接收对端发送的数据包但是不会转发数据包)
[r1-rip-1]silent-interface GigabitEthernet 0/0/1—配置位置RIP进程—这个接口被沉默之后就不会发送RIP的数据包了
④加快收敛—更改RIP的计时器时间
[r1-rip-1]timers rip 10 60 40—配置位置为RIP进程中,相当于改变了协议的标准,所以,所有运行这一种协议的设备都需要更改—更改计时器时间,时间变短加快收敛
更改时间需要注意:失效时间是周期更新时间的六倍、垃圾回收时间是周期更新时间的四倍、如果改变一个运行RIP协议路由器的时间其他运行同一个RIP协议的路由器时间也应该改变为相同的时间
⑤缺省路由(R2为源头,缺省的终点方向为R2)
[r2-rip-1]default-route originate—起源,配置位置为RIP进程中(路由器连接互联网的路由器)
缺省和汇总相遇也有可能产生环路问题,解决环路问题的方式写一条静态路由(空接口)
[r1]ip route-static 192.168.1.0 24 NULL 0
三、策略
ACL—访问控制列表
配置一张ACL列表,列表包含设置好的规则,之后所有的流量安装对应的规则进行执行,规则一个是允许,一个是拒绝
ACL功能
访问控制(允许/拒绝流量通过)—当一个流量来到我的设备,我进行访问控制的操作
ACL的匹配原则
自上而下逐一匹配,一旦匹配上,则不继续向下匹配
华为体系默认的ACL列表末尾隐含一条允许所有的指令(不做处理)
思科—默认拒绝所有
抓取感兴趣流(抓取对应的流量)—QOS(更改服务质量)
ACL的分类
基础的ACL—只匹配源(只看这条路由是谁发的)—编号是2000-2999
高级的ACL—可以既匹配源也可以匹配目标,甚至可以匹配协议、端口号等等(不仅看这条路由是谁发的还看这条路由的目标是什么)—编号3000-3999
用户自定义的ACL—可以用户自定义相应的功能—编号4000-4999
基础ACL的配置步骤
①写ACL列表
②路由器的接口调用ACL列表(流量流入/流出的接口进行调用),需要注意方向(一个接口的一个方向只能调用一张列表)
③基础的ACL一般在更靠近目标网段的位置配置,尽量不要影响到中间网段的通讯
④ACL列表只具有本地意义
打开R1
<Huawei>sys
[Huawei]sys r1
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/1]int g 0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.2.1 24
[r1-GigabitEthernet0/0/0]q
[r1]ip route-static 192.168.3.0 24 192.168.2.2—写静态路由(非直连网段)
打开R2
<Huawei>sys
[Huawei]sys r2
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]ip add 192.168.2.2 24
[r2-GigabitEthernet0/0/0]int g 0/0/1
[r2-GigabitEthernet0/0/1]ip add 192.168.3.1 24
[r2-GigabitEthernet0/0/1]q
[r2]ip route-static 192.168.1.0 24 192.168.2.1—写静态路由(非直连网段)
打开R2(因为要在更靠近目标网段的位置配置)
[r2]acl 2000
[r2-acl-basic-2000]rule deny source 192.168.1.3 ?
0 Wildcard bits : 0.0.0.0 ( a host )
X.X.X.X Wildcard of source—通配符(和掩码非常类似但是完全相反,为0的部分不可变为1的部分可变,通配符可以不连续)
(补充:如果这条命令这样写[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 就说明拒绝IP地址为192.X.1.Y这个范围的地址(X、Y部分可变但是192、1不可变,验证了为0的部分不可变为1的部分可变这句话)
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
[r2-acl-basic-2000]display this—查看指令(和下一条指令一样只不过有这两种方式查看的方法)
#
acl number 2000
rule 5 deny source 192.168.1.3 0
#
Return
[r2-acl-basic-2000]display acl 2000—查看ACL列表配置指令
Basic ACL 2000, 1 rule
ACL's step is 5—步长(步长小的就先配,作用是一方面确定匹配顺序另一方面方便规则之间插入一些规则)
rule 5 deny source 192.168.1.3 0 (0 times matched)
(补充:[r2-acl-basic-2000]rule 0 permit source 192.168.3.0 0.0.0.255—这条命令是自定义步长为0的命令,这个步长最小就会最先匹配
[r2-acl-basic-2000]undo rule 5—删除ACL规则)
[r2-acl-basic-2000]q
[r2]int GigabitEthernet 0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000—选方向对于R2的0/0/1接口而言PC2是流出的方向
高级ACL的配置步骤
①写ACL列表
②路由器的接口调用ACL列表(流量流入/流出的接口进行调用),需要注意方向(一个接口的一个方向只能调用一张列表)
③高级的ACL一般在更靠近源的位置配置
④ACL列表只具有本地意义
打开R1
[r1]acl 3000—创建ACL 列表
[r1-acl-adv-3000]rule 5 deny icmp source 192.168.1.2 0 destination 192.168.3.3 0 —配置规则
调用位置—更靠近源
[r1]int GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000—注意调用的方向
创建远程登录的配置步骤(场景布置的不好,不应该直接在R2上,所以没有达到预期的效果,应该在R2后加一个用户,但是原理和步骤是正确的)
打开R1
[r1-aaa]
[r1-aaa]local-user huawei password cipher 123456
[r1-aaa]local-user huawei service-type telnet
[r1-aaa]local-user huawei privilege level 15
[r1-aaa]q
[r1]user-interface vty 0—只有一台设备能登录我
[r1-ui-vty0]authentication-mode aaa—关联aaa空间
打开R2
<r2>telnet 192.168.2.1
Trying 192.168.2.1 ...
Press CTRL+K to abort
Connected to 192.168.2.1 ...
Login authentication
Username:huawei
Password:
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2023-05-31 17:51:44.
<r1>q
<r2>—远程登录成功
[r2-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.2.1 0 destination-port eq 23
[r2-acl-adv-3000]q
[r2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[r2-GigabitEthernet0/0/0]q
<r2>telnet 192.168.2.1
将图换为这张图就可以达到预期的效果
扫一扫
818
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
