RIP路由控制，数据链路协议，GRE隧道

RIP的路由控制：如何选择最优路径？

优先级选择：[r1-rip-1]preference 150修改RIP优先级

开销值选择：因为RIP存在15跳跳数限制，所以修改开销值时不允许改小，只能改大

   出方向修改：[r2-GiabitEthernet0/0/0]rip metricout 10 修改的开销值实际是传递中开销值的增加量（增加量默认是1）
   入方向修改：[r1-GiabitEthernet0/0/0]rip metricouin 2 直接在本地路由表基础上加2

精确控制开销

1. 创建ACL列表抓取路由

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 4.4.4.0 0

1. 在接口上修改开销值

[r2-GiabitEthernet0/0/0]ip metricout 2000 10 –出方向修改

[r1-GiabitEthernet0/0/0] ip metricin 2000 10 –入方向i修改

路由过滤：也属于路由控制的一种 filter-policy

1. 抓取路由信息

[r2-acl-basic-2001]rule deny source 4.4.4.0 0—因为过滤列表本身没有过滤能力，所以用ACL列表进行过滤

[r2-acl-basic-2001]rule permit source any—因为华为ACL列表默认对未匹配流量不做处理，所以需要添加规则放通剩余流量

1. 进入RIP进程调用过滤列表

[r2-rip-1]filter policy 2001 export GiabitEthernet0/0/0 – 出方向过滤

[r1-rip-1]filter policy 2001 import – 出方向过滤

RIP的单播邻居

[r1-rip-1]peer 10.0.0.2 – 双方必须都需要配置

[r2-rip-1]peer 10.0.0.1

单播配置后，RIP在周期更新时会同时发送单播数据包和组播（广播）数据包。

沉默接口(过滤掉广播)

1. 只收不发RIP数据
2. 只针对组播（广播）

[r1-rip-1]silent interface g0/0/0

[r2-rip-1]silent interface g0/0/0

网络类型—根据数据链路层所运行的协议及规划来划分

P2P—点到点网络

MA—多点接入网络

   --BMA—广播型多点接入网络

   --NBMA—非广播型多点接入

数据链路层协议

   以太网协议—以太网在封装数据帧时需要加入源MAC和目标MAC地址。实现物理寻址

   原因：因为以太网所组建的二层网络中可以包含多个（两个或两个以上）接口，每个接口之间通过交互以太网帧形式实现二层通讯。--BMA—

   只能存在两个设备的网络不需要MAC地址也能正常通讯—P2P—

以太网—频分—就是在一根铜丝上同时发送不同频段的数据而互不干扰。实现数据并行发送

1. HDCL
2. PPP

HDLC—一种专门应用在串线网络中的协议—高级数据链路控制协议

   标准的HDLC:ISO颁布的HDLC(根据SDLC协议改进而来)标准

   非标的HDLC:各个厂商根据ISO的HDLC协议引进而来

PPP—点到点协议—应用串线网络中的协议

1. PPP有统一标准，具有很强兼容性，任何只要支持全双工模式的串行接口都可以使用PPP协议

通讯方式：单工（只能某一方给某一方发消息），半双工（互相发消息，但不能同时发比如对讲机），全双工

1. PPP可移植性比较强---PPPoe
2. PPP协议可以完成进行认证和授权

PPP协议类似TCP协议，数据传输前需要创建PPP会话

1. 链路建立阶段—LCP建立
2. 认证阶段—PPP的认证—可选项
3. 网络层协议协商阶段—NCP协商

PPP协议附属协议（成员协议）：

   LCP协议—链路控制协议—完成PPP建立第一阶段

   NCP协议—网络控制协议—完成第三阶段—NCP一系列协议，针对网络层使用的协议不同会存在对应NCP协议—IPCP—网络层使用IP协议时使用的NCP协议

F—flag—01111110—前后各存在一个，如果数据部分出现同样字段，则需要进行转义操作。

A—address—11111111—固定8位1填充

C—control—00000011—固定03填充

协议—上层使用的协议类型

FCS—帧校验序列—校验数据帧的完整性

1. 链路建立阶段—LCP建立

主要作用通过LCP协议协商链路建立时的一些基本且重要的参数，以太网协议使用MTU

MRU—PPP帧中数据部分携带最大数据量（字节，默认1500）

确认是否进行认证以及如何认证

1. 认证阶段—PPP的认证—一般通过AAA认证

PPP在认证时可以实现单向、双向认证

PAP—密码认证协议—被认证方将用户名和密码通过明文形式发送给认证方，对方回复ACK则认证成功，回复NAK表示认证失败，明文传输安全性较低

CHAP—挑战握手协议—安全性更高，在认证中传递的不是铭文信息，而是通过比对摘要值的方式来进行认证

摘要值—通过HASH算法计算出来—任意长度输入转化成固定长度的输出

    1不可逆性，哈希计算后不可还原成原有数据

    2雪崩效应，原有数据只要稍微修改，再进行哈希运算，差别巨大，比如加一个空格

    3相同输入输出

MD5—HASH算法的一种，任意长度输入转换为128位输出

认证方发送挑战包携带随机数C，被认证方收到后将C与共享密钥S进行HASH运算，并返回认证方，认证方本地HASH计算后与其进行比较，认证通过反正SUESS，否则不通过

1. NCP协商阶段—通过NCP协议完成对网络层参数的协商—如果网络层使用IP协议，则将使用IPCP协议来完成NCP协商

IPCP协议两个主要参数

1. IP报文的压缩格式
2. IP地址

IPCP再协商IP地址过程中，他会学习对方的主机路由

IPCP在NCP协商中可以实现IP地址的分配

获取IP地址方：

[r1-Seria4/0/0]ip address ppp-negotiate

给予方：

[r2-Seria4/0/0]remote address 10.0.0.1

认证配置：

   认证方配置：

[r1-aaa]local-user admin password cipher 123  设置密码

[r1-aaa]local-user admin service-type ppp   选择协议类型

[r1-Serial2/0/0]ppp authentication-mode pap  选择PAP认证

[r1-Serial2/0/0]ppp authentication-mode chap  选择CHAP认证

   被认证方配置：

[r2-Serial2/0/0]ppp pap local-user admin password cipher 123  ---PAP

[r2-Serial2/0/0]ppp chap user admin

[r2-Serial2/0/0]ppp chap password cipher 123  --- CHAP

PPP的会话是一次性会话

GRE,MGRE

通过物理专线—解决实际上的问题—1.成本高2.出差人员不固定

通过NAT技术来进行访问—相当于内网服务器开放到公网中—不安全

VPN—虚拟专网—可以理解一条虚拟线路

VPN核心技术—隧道技术—GRE就是一种

希望的封装：

加入GRE后：

隧道技术—在隧道两端通过封装技术及接封装技术在公网上建立一条数据通道，使用者台哦通道来传输数据—注意！隧道建立后，两边的私网将变成一个，所以，在一开始分配网段是，要避免冲突

GRE配置

1. 创建隧道接口

[r1]interface Tunnel 0/0/0

1. 配置隧道接口IP地址---隧道选哟配置独立的私网网段

[r1-Tunnel0/0/0]ip address 192.168.3.1 24

1. 定义封装类型

[r1-Tunnel0/0/0]tunnel-protocol gre

1. 定义封装内容

[r1-Tunnel0/0/0]source 12.0.0.1  源网段

[r1-Tunnel0/0/0]destination 23.0.0.2   目标网段

GRE—实际上搭建点到点隧道，拓扑型较差，存在多个网络需要来凝结没使用GRE需要两两之间建立隧道，最好了一使用MA网络方式进行来凝结—MGRE—多点通用路由封装协议

NHRP—吓一跳解析协议

原理：需要在私网中选出一个出口物理IP不会变的作为NHS---下一条解析服务器，剩下的分支都知道中心的隧道IP和物理IP，然后NHRP要求所有分支将自己物理接口的IP地址和隧道IP发给NHS。这样，NHS会获得所有分支地址的映射关系，记录在本地，之后，中心需要发送消息时，可以直接查看记录的表进行发送。如果分支之间需要通信，则需要先将数据包发送中心，由中心转发。--hub-spoke架构

MGRE配置

中心的配置

[r1-Tunnel0/0/0]ip address 192.168.5.1 24 – 给隧道接口配置IP地址

[r1-Tunnel0/0/0]tunnel-protocol gre p2mp – 选择封装协议

MGRE

[r1-Tunnel0/0/0]source 15/0/0/1 – 中心设备源IP地址必须固定

[r1-Tunnel0/0/0]nhrp network-id 100 – 启动NHRP，ID具有全局意义分支的配置

分支的配置

[r2-Tunnel0/0/0]ip address 192.168.5.2 24

[r2-Tunnel0/0/0]tunnel-protocol gre p2mp

[r2-Tunnel0/0/0]source GigabitEthernet 0/0/1

[r2-Tunnel0/0/0]nhrp network-id 100

[r2-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register – 找中心进行注册，汇报自己的接口IP信息（第一个IP地址时中心隧道接口的IP地址，第二个IP地址是中心的真实物理接口IP地址）

[r1]display nhrp peer all--- 查看NHRP注册情况（地址映射信息）

MGRE搭建的逻辑拓扑连接是一个多节点的网络，但是，在数据发送时，还是点到点的发送，所以，是不支持广播和组播行为的，所以，可以理解为是一种NBMA网络。

在MGRE环境下使用RIP来获取未知网段的路由信息

1. 只有中心获取到分支路由的信息，但是分支并没有获取中心的路由信息

解决：在中心上开启伪广播—通过给所有分支发送数据包达到类似广播的效果

[r2-Tunnel0/0/0]nhrp entry multicast dynamic – 开启伪广播

1. 分支在中心开启伪广播后，只能获取到中心的路由信息，但是无法获取分支之间的路由信息

主要因为华为设备默认开启了RIP的水平分割，导致中心不会再从隧道接口将学来的分支路由发送给其他分支

解决方案—关闭接口的水平分割

[r2-Tunnel0/0/0]undo rip split-horizon