练习一
路由器有四个接口,故有四个广播域相当于四个网段。
实现PC1对PC2进行访问
1.首先配置接口ip地址及掩码
配置PC1ip
配置PC2ip
r1路由器的两个接口进行配置ip
0/0/0接口配置ip192.168.1.2 26
0/0/1接口配置IP192.168.1.65 26
r2路由器的两个接口进行配置ip
0/0/0接口配置ip192.168.1.66 26
0/0/1接口配置ip192.168.1.129 26
r3路由器的两个接口进行配置ip
0/0/0接口配置ip192.168.1.130 26
0/0/1接口配置ip192.168.1.194 26
完成各个端口的配置后,检测IP与接口对接是否正确display ip interface brief
2.各个路由器的静态配置
路由器r1进行静态路由配置,编辑目的ip地址网段和下一跳ip,下一跳为流量流经的方向的下一个路由器的入接口IP地址。
由于r1两个接口已经识别了网段192.168.1.2 26和192.168.1.65 26,需要对未知网段进行配置。
r1需要识别网段192.168.1.129
目标网段为192.168.1.129 ,下一跳为192.168.1.66
ip route-static 192.168.1.129 26 192.168.1.66
r1需要识别网段192.168.1.192
目标网段为192.168.1.192 ,下一跳为192.168.1.66
ip route-static 192.168.1.192 26 192.168.1.66
路由器r2进行静态路由配置,编辑目的ip地址网段和下一跳ip,保证数据包传输到r3上
r2识别网段192.168.1.0
目标网段为192.168.1.0 ,下一跳为192.168.1.65
ip route-static 192.168.1.0 26 192.168.1.65
r2识别网段192.168.1.192
目标网段为192.168.1.192 ,下一跳为192.168.1.130
ip route-static 192.168.1.192 26 192.168.1.130
r3配置静态路由,编辑目的ip地址网段和下一跳ip,保证数据传输到r2
r3识别网段192.168.1.0
目标网段192.168.1.0,下一跳为192.168.1.129
ip route-static 192.168.1.0 26 192.168.1.129
r3识别网段192.168.1.64
目标网段192.168.1.64,下一跳为192.168.1.129
ip route-static 192.168.1.64 26 192.168.1.129
使用PC1pingPC2ip
ping 192.168.1.193,实现了跨广播域传输信息
练习二
1.对路由器及PC进行ip配置
PC1
PC2
PC3
R1路由器的接口进行ip配置
R2路由器的接口进行ip配置
R3路由器的接口进行ip配置
2.各个路由器的静态配置
R1进行静态路由配置
由于R1路由器接口已经识别网段192.168.1.0/24和12.0.0.0/24
需要对未知网段192.168.2.0/24,23.0.0.0/24和192.168.3.0/24进行识别
R2进行静态路由配置
由于R2路由器接口已经识别网段12.0.0.0/24,23.0.0.0/24和192.168.2.0/24
需要对未知网段192.168.1.0/24和192.168.3.0/24进行识别
R3进行静态路由配置
由于R3路由器接口已经识别网段23.0.0.0/24和192.168.3.0/24
对未知网段192.168.2.0/24,12.0.0.0/24,192.168.1.0/24进行识别
使用PC1进行ping测试
PC2进行ping测试
及实现了各个路由器的静态配置
静态路由的基础知识
路由优先级 路由项的优先级越小,则路由项的优先度越高
开销值 在静态路由和直连路由中,开销值为0。
一:静态路由的扩展配置
1.等价路由
作用:可以对宽带进行叠加
条件:来源相同的去往相同的目的地的且开销值相同的路(下一跳不同)
路由器上面由一个特殊的接口,用于模拟用户的网段。故将R2上的网段自定义为192.168.1.0/24
路由器R1有两个广播域,数据包的转发依靠路由信息来决定。数据包从那个接口发送,那个接口就是源ip,从12.0.0.1接口发送那么源ip就是12.0.0.1。
查看R1全局路由表——display ip routing-table
R1目的网段192.168.1.0,有两个入接口可以选择,选择其中一个接口后会从另一个接口发送信息。
既可以把1000大小的数据包分成两个500大小的数据包进行分批转发。
2.路由汇总
作用:将网段进行汇总成一个大的网段
条件:母网相同,掩码相同
R1路由器上有3个网段,172.16.0.0/24,172.16.1.0/24和172.16.2.0/24.使用CIDR进行子码汇总.
得出的结果为172.16.0.0/22。
interface LoopBack 0 ----创建编号为0的环回接口
interface LoopBack 1----创建编号为1的环回接口
interface LoopBack 2 ----创建编号为2的环回接口
R2进行静态配置,对三个网段都可以访问则访问其汇总网段172.16.0.0/22为目标网段。
R2可以pingR1上的任意ip
3.路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源。
4.缺省路由
缺省路由永远是0.0.0.0 /0(0为最短的路由)
当网络中没有任何一条路由可以匹配数据包时,可以使用0.0.0.0 /0进行汇总
R2上配置掩码不同,母网不同是网段
R1使用0.0.0.0 0作为目标网段,下一跳为12.0.0.2
使用R1pingR2上的IP
如果当ip为172.16.3.0 24为黑洞路由时 ,想把信息传输到黑洞,但是因为有缺省路(0.0.0.0 /0)有存在时,将一切不认识的网段进行转发,不会有信息丢失。
5.空接口放环
作用:在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
当有缺省路由存在时若想丢失信息可以添加空接口。
防止路由器的信息丢失,路由器上所有的接口都要添加空端口
ip route-static 172.16.0.0 22 NULL 0#可以把汇总路由接口接口,也可以一个一个的添加空接口
6.浮动静态路由
R11000M数据包进行传输时,选择12.0.0.1的接口进行传输。防止从21.0.0.1接口进行传输,修改优先级,更改传输接口。将21.0.0.0的网段改成大于60。优先级越大,路由项的优先度越低。
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
二:动态协议—rip
2.1:了解自治系统—AS
AS号也叫ASN,标识16位二进制进行标识,AS号范围为0-65535(其中0使用)。
AS号由组织(IANA—互联网数字分配机构)进行分配。
ip地址也是由IASN组织进行分配。
动态路由协议两种划分规则
AS内部使用的协议为内部网关协议IGP
AS之间使用的协议为外部网关协议EGP
2.2:动态路由分类
2.2.1:按照范围分类
1.IGP(内部)
RIP、OSPF、IS-IS、EIGRP(思科私有使用)
2.EGP(外部)
BGP
2.2.2:对IGP协议进行分类
1.按照协助特点分类
距离矢量型协议—DV(共享路由表)
链路状态型协议—LS(共享拓扑信息)
2.按照是否携带掩码分类
有类别路由协议:RIPV1
无类别路由协议:
2.3:RIP—路由信息协议
2.3.1:基本概念:
UDP协议端口号为520
目的IP地址两种填充方式:255.255.255.255代表数据包RIPv1版本和224.0.0.9代表RIPv2版本
RIP数据包
请求报文:请求路由表发送信息
应答报文:本地路由表发出回应信息
RIP使用路由的跳数作为开销值Cost,最大值为16(代表不可以使用)
算法:数据包中传递的开销值=本地开销值+1
2.3.2:RIP算法—贝尔曼算法
当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加 载到本地路由表。
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由 表中的cost大,将将数据包中的路由项加载到本地路由表。
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由 表中的cost小,则丢弃数据包中的路由项。
2.3.3:RIP计时器
1.更新计时器(默认30S)
概念:当启动RIP服务时就会产生更新计时器,每台路由器只有一个计时器。
作用:每到0S时路由器向外发送更新报文。
2.无效计时器(更新计时器时间的6倍)
概念:每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器。
作用:当该计时器为0时,会认为该计时器所表述的路由项无效,路由器会将该路由项的cost设置为 16(并且会向外通知该路由器不可用)。
3.垃圾收集计时器(更新计时器时间的4倍)
概念:当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
注意:当垃圾计时器存在时,无效路由器不可存在。当无效路由器存在时,垃圾计时器不可存在。
作用:当垃圾收集计时器为0时,路由器会删除掉该路由项。
2.3.4:RIP周期更新
1.更新原因:RIP基于UDP传输,UDP没有重传机制,若对面没有收到则就没有收到则不断更新内容传输。RIP没有可靠传输协议,也没有重传机制,当进行信息传输时无法判断对方有没有收到信息。RIP没有保活机制无法判断对方是否存在。
2.作用:为了保障路由的可靠更新,只有让路由器周期性的发送RIP路由,这样从概率上来说能够保证邻居路由器一定可以学习到RIP路由。
网路环回解决方式
1.依靠开销值更改线路
2.触发更新
3.水平分割机制
出路由器接口进入,不从该接口出。
4.毒性逆转
将出某个接口进入的路由,在一次从该接口发出时,开销值设置为16。
三:ACL技术—访问控制列表
对于网络中的流量的一种处理方式。
3.1:ACL功能
1.访问控制
放通:允许流量通过
拒绝:拒绝流量通过
2流量抓取
ACL经常与其他协议共同使用,所有动作均为允许。
3.2:ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认 规则(在华为中,为允许所有)
ACL分类
1.基本ACL
基于IP报文的源IP地址定义规则。
编号:2000-2999
例子:
PC1可以访问192.168.2.0/24网段,而PC2不可以访问192.168.2.0/24网段。
分析他们的不同点在于PC1和PC2,它们都是属于源IP地址
仅对源地址有要求,配置基本ACL 基本ACL配置规则!!!!!靠近目的进行配置。
配置 [r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则 通配符----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用 acl2000列表 一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
2.高级ACL 基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口 等信息来定义规则。
编号:3000-3999
例子一:
PC1不可以访问PC3,可以访问PC2。(基于目的IP地址)
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0 [r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
例子二:
PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100
3.二层ACL 基于MAC地址来定义规则
编号:4000-4999 用户自定义ACL