第2次笔记

静态路由

红字代码： 

静态路由

display ip routing-table ----查看全局路由表

路由表是由路由项的集合共同组成的

路由项： 目的网关，下一跳和出接口必须要有

• destination/mask----目的网关

• NextHop----下一跳（下一跳指的是下一个路由器的入接口ip地址）

• Interface-----出接口（如果下一跳与出接口相同，那么下一次转发数据一定能发出去）

• proto------协议 （有直连路由，静态路由，动态路由）

• Pre------优先级 （优先值越小代表优先度越高）

• cost-----开销值 （在静态路由和直连路由中，开销值为0）

匹配路由网段

目标：192.168.1.66

网段：192.168.1.0/24

网段：192.168.1.64/26

11000000.10101000.00000001.01000010---192.168.1.66

11111111.11111111.11111111.00000000---24的掩码

11111111.11111111.11111111.11000000---26的掩码

11000000.10101000.00000001.00000000---192.168.1.0（和24掩码对应）

11000000.10101000.00000001.01000000---192.168.1.64（和26的掩码对应）

最长掩码匹配规则----比如上面选出来24和26的掩码都可以与目标进行匹配，但是由于最长掩码匹配规则受限，所以会选择26这个网段，因为26这个网段更加的精确

题外话：

如果要重装ensp这个软件

1、卸载ensp及三个配置插件

2、清理注册表--->清理残留虚拟网卡

3、开启系统虚拟化

4、重新安装--->检查虚拟网卡IP地址192.168.56.1/24

路由信息的来源信息

• 直连路由----设备自动发现

• 静态路由-----手工配置

• 动态路由-----路由器通过运行某种算法自行计算出路由

直连路由的生成条件有两个

• 接口双UP

• 必须配置IP地址

路由的优先级

    路由项的优先级越小，则路由项的优先度高

路由来源	优先级缺省值
直连路由	0
静态路由	60
RIP	100
OSPF	10

• 直连路由---自己发现的

• 静态路由---别人告诉我的

• 动态路由（RIP /OSPF）----通过某种软件告诉我的

开销值：在静态路由和直连路由中，开销值为0

等价路由：目的地相同，且优先级（路由发现方式）与开销值均相同，且下一跳不同

静态路由配置：（永远是以上帝视角配的）

静态路由配置主要就是目标和下一跳

[r1]ip route-static 192.168.1.192 26 192.168.1.66

• 192.168.1.192 26 目的网段ip地址

• 192.168.1.66 下一跳（流量流经的方向的下一个路由器的入接口ip地址）

解决环路的两个办法

• 通过TTL（生存时间）利用ttl（通过一个路由器都会减一）去破除环路，但是会使得路由器特别卡，因为ttl是不可控的（ttl最大值为255）

• 空接口防环

静态路由协议扩展配置

等价路由----进行带宽的叠加。

等价路由的形成条件-----来源相同的去往相同目的地的且开销值相同的路由（下一跳不同。）

路由汇总

使用CIDR技术(子网汇总）将连续的网段汇总成一个大的网段。

汇总的潜要求：母网相同；掩码相同。

路由黑洞

在手工汇总时，可能会包含一些网络中不存在的网段，造成流量有去无回的现象，浪费设备与链路资源

源。

缺省路由（默认路由）

缺省路由的目标网段----0.0.0.0/0

[r1]ip route-static 0.0.0.0 0 12.0.0.2

空接口防环

在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。

[r1]ip route-static 172.16.0.0 22 NULL 0

浮动静态路由

可以备份网断，就是让路由器可以有两个发送的路径，但为了防止变成等价路由，因此改优先级来让其变成浮动静态路由

ip route-static 192.168.10.0 255.255.255.0 12.0.0.2

ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70----修改优先级

环回

[r2]interface LoopBack 0 ----创建编号为0的环回接口

[r2-LoopBack0]ip address 192.168.1.1 24 ----配置ip信息

[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1

补充常见华为命令：

display this 查看当前

display curr tab 查看全局配置

display ip routing-table protocol rip 显示rip生成的所有路由项

display ip routing-table 查看当前路由的信息

动态协议

自治系统----AS

由一个组织或者机构管理的一系列网络设备的集合

AS号----ASN----使用16位二进制进行标识----IANA（互联网数字分配机构）（ns号一共有65536个，范围是1~65535）

动态路由协议的两种划分规则：

• AS内部使用的协议----内部网关协议IGP

• AS之间使用的协议----外部网关协议EGP

注意：IGP,EGP表示的是一个大的范围，里面包含了很多的小协议。

动态路由分类

按照范围分

• IGP

  • RIP、OSPF、[IS-IS 基本不怎么用]（全球公有的技术协议）

  • EIGRP（私科私有的技术协议）

• EGP

  • BGP

对IGP协议进行分类

• 按照协议特点分类

  • 距离矢量型协议-----DV----共享路由表(相当于直接告诉你怎么走)

    • RIP、EIGRP

  • 链路状态型协议-----LS-----共享拓扑信息（相当于给我一张图，我自己规划怎么走）

    • OSPF、ISIS

• 按照是否携带掩码分类

  • 有类别路由协议

    • RIPv1 （v1代表第一个版本）

  • 无类别路由协议--其它所有协议

RIP------路由信息协议

属于距离矢量DV型协议

应用层协议

基本概念

• 传输层使用的封装：UDP协议-----端口号520

• 网络层封装：目的IP地址

  • 255.255.255.255----RIPv1（广播版本）

  • 224.0.0.9------RIPv2（组播版本）

• RIP使用路由的跳数作为开销值Cost，Rip开销值最大值为16，但是16也同时代表本条路由可不用。

  • 算法：数据包中传递的开销值=本地开销值+1

• 周期更新（每30s发一次，使用的是应答报文）----为了让全网学习到最为正确的路由（保证两个路由器的连接还存活着）/触发更新

RIP算法----贝尔曼福特算法

• 当接收到数据包中含有本地路由表中没有的路由项，则直接加载到本地路由表

• 当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳相同，则将数据包中的路由项加载到本地路由表。

• 当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比较cost值，若本地路由表中的cost大，将将数据包中的路由项加载到本地路由表。

• 当接收到数据包中含有本地路由表中已经存在的路由项，且下一跳不同，比较cost值，若本地路由表中的cost小，则丢弃数据包中的路由项。

RIP数据包

• 请求报文---请把你的路由表发我一份

• 应答报文---把自己的本地路由表发出去

RIP计时器

• 更新计时器----30S（从启动Rip协议开始就有更新计时器）

• 每台路由器只有一个更新计时器，该计时器为0则路由器向外发送更新报文。

• 无效计时器----更新计时器的时间×6

  • 每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器。

  • 当该计时器为0时，会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为16。并且会向外通知。

• 垃圾收集计时器-----更新计时器的时间×4

  • 当一个路由项的无效计时器为0时，垃圾收集计时器开始计时。

  • 当垃圾收集计时器为0时，路由器会删除掉该路由项。

  注意：有无效计时器就没有垃圾收集计时器，2者只可存一

提问：在某时刻，某路由器的RIP路由表中共有30个路由项，其中cost值小于16的有23个，cost值等于16的有7个，此时总共有多少个计时器。

答：一共有31个

注意：一个路由器有一个全局路由表，一个全局路由表由多个路由项组成

RIP周期更新

• 更新原因

  • 基于UDP传输

  • RIP本身也没有可靠性机制

  • RIP本身没有保活机制（不知道自己相邻的路由器是否完好）

网络环路

• 依靠开销值---通过两个路由之间不断的发送报文，知道cost变成16，从而退出环路（此方法耗费资源较大）

• 触发更新----一旦路由表中有任意路由项发生变化，则激活触发更新。

• 水平分割机制----从此端口进，不从此端口出。

• 毒性逆转-----将从某个接口进入的路由，在下一次从该接口发出时，开销值设置为16。

  注意：毒性逆转和水平分割机制是互斥的，二者只可存一，华为默认的是水平分割机制

触发更新，除了可以避免大部分环路，实际最主要的作用是加快网络收敛速度

注意：rip的宣告永远是主类

手工配置在接口开的

RIPv1

[r1]rip 1 ----启动RIP协议，进程号为1，仅具有本地意义

(在r1只能用进程号1，在r2用进程号几都没关系)

[r1-rip-1]version 1 ----选择版本一

[r1-rip-1]network 192.168.1.0 ---宣告，以网段进行宣告，且网段为主类（a，b，c类）！！！

宣告的两种含义：

• 激活接口 (如果不激活的话就不能收发关于rip的报文)

• 发布路由（允许发布192.168.1.0 这个路由）

RIPv2---使用最多的一个版本

[r1]rip 1 ----启动RIP协议，进程号为1，仅具有本地意义

[r1-rip-1]version 2 ----选择版本一

[r1-rip-1]network 192.168.1.0 ---宣告，以网段进行宣告，且网段为主类！！！

• 激活接口

• 发布路由

RIPV1和RIPV2的区别：宣告时两个宣告的都是主类，但是宣告过去发的内容RIPV1还是主类，但RIPV2却是真实的，ripv1使用广播方式更新，ripv2使用组播方式更新，只有ripv2才有手工配置。

RIP扩展配置

• 手工汇总

[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发出接口配置

（会把前面两条没汇总的路由的开销值改成16，然后再发一条汇总后的路由出来 ）

• 缺省路由-------这里指的是下发缺省路由。

[r3-rip-1]default-route originate

缺省路由的下发，一定是在边界路由上做。且该配置仅会让其他RIP设备学习到RIP的缺省路由（边界设备外接isp，因此，边界设备没有缺省路由，因此我们要自己手工的给它配一条缺省路由）

• 静默接口----配置了静默接口的接口无法主动发送RIP数据包，只能被动接收RIP数据包。一般与用户相连的接口配置。

[r2-rip-1]silent-interface GigabitEthernet 0/0/2

当静默接口接收到RIP数据包时，会从静默状态转换为普通状态（转发状态）。

• 手工认证---用于路由器之间的身份核实。需要在双方身上均配置。（手工配置要在接口配置）（手工认证只有ripv2才有）

[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456

• 加速收敛----减少计时器时间

  • [r1-rip-1]timers rip 10 60 40

  • 全网均需要修改。

ACL**技术---访问控制列表**

对于网络中的流量的一种处理方式，（放通、拒绝）。

ACL功能

访问控制

在设备的流入或流出接口上，匹配流量，然后执行设定的动作

允许---permit

拒绝---deny

抓取流量

ACL经常与其他协议共同使用。---所有动作均为允许。

ACL的匹配规则

自上而下、逐一匹配，若匹配成功则按照相应规则执行，不再向下匹配；若没有匹配上，则执行默认

规则（在华为中，为允许所有）。

ACL分类

基本ACL

基于IP报文的源IP地址定义规则。

编号：2000-2999

高级ACL

基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口

等信息来定义规则。

编号：3000-3999

二层ACL

基于MAC地址来定义规则编号：4000-4999

用户自定义ACL

示例

需求一

PC1可以访问192.168.2.0/24网段，而PC2不可以。

分析：

仅对源地址有要求，配置基本ACL

基本ACL配置规则----靠近目的进行配置。

配置

[r2]acl 2000 ----创建基本ACL列表

[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则

通配符----32位二进制，0代表不可变，1代表可变。

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用

acl2000列表

一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。

例1：

仅允许192.168.1.1通过

rule permit source 192.168.1.1 0.0.0.0

例2:

拒绝192.168.1.2和192.168.1.3通过

rule deny source 192.168.1.2 0.0.0.1

11000000.10101000.00000001.00000010[r2]display acl 2000 ---查看ACL列表

需求二

要求PC1可以访问PC3，但是不能访问PC4。

分析：对目标有要求，使用高级ACL；更靠近源。

[r1]acl 3000

[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253

0.0.0.0

[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

需求三

要求：PC1可以ping通R2，但是不能telnet R2。

[r1]acl 3100

[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0

[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest

ination-port eq 23

[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100