目录
静态路由
路由项
目标 ,下一跳, 接口组成一条路由项
下一跳 --- 下一个路由器(三层设备)
pre --- 优先级代表这条路由的优先度,优先级越小优先度越高cost --- 开销值掩码32 --- 主机路由下一跳与网关相同 --- 最后一次转发
匹配机制(递归)
两个都会出现再路由表中,两者并存
最长掩码匹配规则--- 选择最长的掩码匹配
路由信息的来源
-
直连路由 --- 自动发现
-
静态路由 --- 手动配置
-
动态路由 --- 通过算法得出路由
静态路由的生成条件
优先级
路由来源 | 优先级缺省 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
RIP | 100 |
OSPF | 10 |
开销值
在静态路由中和直连路由中开销值为0
等效路由
目的地相同,且优先级(路由发现方式)与开销值都相同,且下一跳不同
静态路由配置
下一跳 --- 流量流经方向的入接口的IP地址
[r1]ip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳
环路
消耗大量链路和设备资源
TTL值来减少
静态路由拓展配置
-
等价路由
-
叠加带块 --- 同时经过的流量增大 --- 主要优点
-
负载(备份)
-
-
路由汇总
-
路由黑洞
-
缺省路由
-
[r1]ip route-static 0.0.0.0 0 12.0.0.2
-
-
空接口放环
-
[r1]ip route-static 172.16.0.0 22 NULL 0
-
等价路由
形成方式
目的地相同,且优先级(路由发现方式)与开销值都相同,且下一跳不同
根据不同的角色改造不同的数据包 情况也不一样
环回接口
用于测试路由底下的机器是否可通,用一个虚拟接口代表一个网段,只要能ping通这个网段就代表这个路由下的ip可用
选择方式
随机选一个,下一个数据包就走另一个
路由汇总
使用CIDR将连续的网段汇总成一个大的网段--- 当流量方向相同时使用
母网相同,掩码相同才进行汇总
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
172.16 ---母网
路由黑洞
路由黑洞的产生
在手工汇总时,可能会包含一些网络中不存在的网段,浪费链路资源
数据有去无回 --- 路由黑洞
丢弃数据包的路由器 --- 路由黑洞路由器
缺省路由
当无法进行汇总时使用
缺省路由的目标网段 --- 0.0.0.0/0
可以代表所有IP ,只要有缺省路由就不会有数据包被丢弃
缺省路由永远是同一方向
空接口破环
垃圾桶,发到这个接口的数据包被丢弃
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作
浮动静态路由
当一条路由线路断了后,有备份--- 通过设置优先级
tips
-
两者经常配合使用,
-
可以同时有多条等价路由,浮动静态
-
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2 ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
动态路由
RIP
OSPF
动态协议
自治系统 ------ AS 一个大的覆盖
AS号 ----ASN --- 16位二进制
-
AS内部使用的协议
-
内部网关协议IGP
-
-
AS之间使用的协议
-
外部网关协议BGP
-
动态路由分类
按范围分
-
IGP
-
RIP、OSPF、IS-IS、EIGRP
-
-
EGP
-
EGP、BGP
-
对IGP协议进行分类
-
按照协议特点分类
-
距离矢量型协议 ---- 选好了路径 --- DV --- 共享路由表
-
RIP、EIGRP
-
-
链路状态型协议 ---- 自规划、选路径 --- LS ---- 共享拓补信息
-
OSPF、ISIS
-
-
-
按照是否携带掩码分类 --*
-
有类别路由协议
-
RIPv1 --- 第一版本
-
-
无类别路由协议
传输时掩码有无的区别
RIP
基本概念
距离矢量型协议 ---- 选好了路径 --- DV --- 共享路由表
-
-
属于UDP协议 --- 端口号520
-
目的IP地址
-
255.255.255.255 ---RIPv1 ---广播
-
224.0.0.9 ----- RIPv2 --- 组播
-
-
周期更新30s
-
180s没有发送周期更新就删除所有相关数据(保活
-
路由交换过程
网络初始化后,每一台使用RIP协议的路由器,通过间隔为30s向相邻设备广播路由条目,同时邻居也会不断广播同步路由表报文,经过收敛后,每台路由器都会掌握到自己所在系统的所有路由器条目
初次收敛
--- 在路由信息都接收到后,路由器会触发更新,再次发送路由表信息,这时每个路由器的路由信息齐全发生第一次收敛
二次收敛
在初次收敛后,路由器会发送跟新报文
-
按照水平分割机制图中每个路由器的RIP表都被清空
在第二次收敛中的触发更新中,一些网段因为水平分割而消失,但是发送的报文中会通告这个路由不可用,以避免路由黑洞
开销值算法
每经过一个路由器加1
RIP使用路由的跳数作为开销值cost ,最大为16 --- 超出了就代表不可用
-
算法:数据包传递的开销值=本地开销值+1
-
当路由器往外发送路由表时就自己+1
-
RIP算法
-
当接收到数据包中含有本地路由表中没用的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同。则加载到路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地的大则将数据包中的加载到本地
RIP数据包
-
应答报文
-
请求报文
RIP计时器
-
更新计时器 --30s
-
每台路由器一个计时器,每当计时器为0就向外发送更新报文--- 与请求报文无关联
-
-
无效计时器 --- 更新计时器*6
-
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-
当该计时器为0时,会认为该计时器所表述的路由项无效,把cost值设为16并向外通知
-
-
垃圾收集计时器 --- 更新计时器*4
-
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时
-
当垃圾收集器为0时,路由器会删除掉该路由项 --- 如果时间没到路由表恢复又能重新添加
-
RIP周期更新
-
更新原因
-
基于UDP传输
-
RIP本身没有可靠性机制
-
RIP本身没有保活机制
-
网络环路
-
依靠开销值
-
触发更新 --- 只要路由表发生变化则激活触发更新
-
加快网络收敛速度
-
-
水平分割机制 --- 从此口进,不从此口出 --- *
-
毒性逆转 --- 将从某个接口进入的路由,在下一次从该接口发出时,开销值设为16
-
与水平分割互斥
-
RIP操作
v1
RIP宣告的永远是主类,而不是一个IP或者网段
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
v2
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
扩展配置
手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发 出接口配置
缺省路由
[r3-rip-1]default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
静默接口 ---
不能发送数据包,只能被动接受数据包,一般用在用户接口
[r2-rip-1]silent-interface GigabitEthernet 0/0/2当静默接口收到RIP数据包时,会变回普通接口
手工认证
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
用于身份核实,验证双方身份,双方都要配置
加速收敛
加速收敛----减少计时器时间
[r1-rip-1]timers rip 10 60 40
ACL访问控制列表
对于网络中的流量的一种处理方式 (放通,拒绝)
ACL功能
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许 --- permit
-
拒绝---deny
-
-
抓取流量
-
ACl经常与其他协议共同使用 --- 所有动作均为允许
-
ACL匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配,若没有匹配上则实行默认规则(华为中允许所有)
ACL分类
-
基本ACL
-
基于IP报文的源IP地址定义规则 --- 匹配范围很大 粗颗粒
-
编号:2000 -2999
-
-
高级ACL
-
基于源目IP、IP报文协议字段、IP报文优先度、IP报文长度、TCP源目端口号、UDP端口信息来定义规则
-
编号:3000-3999
-
-
二层ACL
-
基于mac地址定义规则
-
编号:4000-4999
-
-
用户自定义ACL
基本ACL配置
-
仅对源IP有要求
-
基本ACL配置规则----靠近目的进行配置
-
编号设置 --- 为了更好插入规则 ACL是严格的从上而下的
-
判断在那个接口配置
-
是在接口的出方向还是入方向
-
一张ACL列表可以在多个接口调用,一个接口只能调用一个ACL
-
配置
-
[r2]acl 2000 ----创建基本ACL列表[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则通配符----32位二进制,0代表不可变,1代表可变。[r2GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用acl2000列表一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
高级ACL
-
对目标IP有要求 ,在更靠近源IP的接口配置
-
配置
要求PC1可以访问PC3,但是不能访问PC4。 分析:对目标有要求,使用高级ACL;更靠近
-
源。
[r1]acl 3000 [r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0 [r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0 [r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100 [r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0 [r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23 [r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100