静态路由
查看静态路由表命令[r1]display ip routing-table ----查看全局路由表可以查看连接的网段
路由的信息来源
直连路由----设备自动发现
静态路由----手工配置
动态路由----路由器通过运行某种算法自行计算出路由
直连路由的条件
接口双up
必须配置IP地址
路由优先级
直连路由----0
静态路由----60
RIP----100
OSPF---10
开销值
在静态路由和直连路由中,开销值为0
等价路由---目的地相同,优先级)(路由发现方式)与开销值均相同,且下一跳不同
全网通必须搭建PC1 PC2 PC3不直连的网段,命令:
静态路由协议扩展配置
-
来源相同的去往同一目的地的,吓一跳不同
(优势以手动方式叠加带宽)
-
路由汇总
-
使用CIDR技术将连续的网段汇总成一个大的网段
掩码相同,母网相同
-
路由黑洞
在手汇总时可能会包含一些网络中不存在的网段,造成流量有去无回分段的现象,
-
缺省路由 (任何ip都能发送)
0.0.0.0/0
-
空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行放环操作
浮动静态路由
-
命令:
[r1]ip route-static 172.16.0.0 22 NULL 0浮动静态路由
创建编号未能0的环回接口 ip lockback 0
动态协议
自治系统---AS
AS号----ASN---使用16位二进制(范围0---655535)----IANA(互联网数字分配机构)
-
AS内部使用的协议----内部网关协议IGP
-
AS之间使用的协议----外部网关协议EGP
动态路由分类
按照范围分类
IGP
RIP OSPF IS-IS EIGRP
EGP
BGP
IGP协议进行分类
按照协议特点进行分类
1,距离矢量型协议---DV--共享路由表
RIP EIGRP
2,链路状型协议----LS--共享拓扑信息
ODPF ISIS
按照是否携带掩码分类
有类别路由协议
RIPV1:无类别路由信息
RIP---路由信息协议(应用层)
基本信息
-
UDP协议----端口520
-
目的IP地址
255.255.255.255----RIPv1
224.0.0.9----RIPv2
RIP使用路由的跳数作为开销值cost ,最大值为16
算法:数据包中传递的开销值+本地开销值+1
周期更新:触发更新
更新原因
1.基于UDP传输原因
2.RIP本身也没有可靠性机制
RIP本身没有保活机制
RIP算法---贝尔曼福特算法
1,当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
网络环路
解决环路
1.依靠开销值
2.触发更新(除了可以避免网路大部分环路,实际主要作用是加快网络收敛速度)
一旦有路由表中有任意
3.水平分隔机制---从此口进,不从此口出
4.毒性逆转,=---将从某个接口进入的路由,在下一个从该接口发出时,开销值设置为16
注意:3,4机制只能存在一个。
RIPV1
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIPv2使用
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIP扩展配置
手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发
出接口配置
缺省路由-------这里指的是下发缺省路由。
[r3-rip-1]default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
静默接口----配置了静默接口的接口无法主动发送**RIP数据包,只能被动接收RIP数据包。一般与用**
户相连的接口配置。
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
手工认证---用于路由器之间的身份核实。需要在双方身上均配置。---RIPv2
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
加速收敛----减少计时器时间
[r1-rip-1]timers rip 10 60 40
全网均需要修改
ACL技术---访问控制列表
对于网络中的流量的一种处理方式,(放通、拒绝)。
ACL功能
访问控制
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
允许---permit
拒绝---deny
抓取流量
ACL经常与其他协议共同使用。---所有动作均为允许。
ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认
规则(在华为中,为允许所有)。
ACL分类
基本ACL
基于IP报文的源IP地址定义规则。
编号:2000-2999
高级ACL
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口
等信息来定义规则。
编号:3000-3999
二层ACL
基于MAC地址来定义规则
编号:4000-4999
用户自定义ACL
需求
PC1可以访问192.168.2.0/24网段,而PC2不可以。
分析:
仅对源地址有要求,配置基本ACL
基本ACL配置规则----靠近目的进行配置
配置:
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用
acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
例1:
仅允许192.168.1.1通过
rule permit source 192.168.1.1 0.0.0.0
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
11000000.10101000.00000001.00000010
00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP地址通过。
rule deny source 192.168.1.1 0.0.0.254
11000000.10101000.00000001.00000001
00000000.00000000.00000000.11111110
[r2]display acl 2000 ---查看ACL列表
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253
0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest
ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100
1176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
