静态路由
[r1]display ip routing-table ----查看全局路由表
上图目的:全网可通
遵从最长掩码匹配原则
目标:192.168.1.66
网段:192.168.1.0/24
网段:192.168.1.64/26
11000000.10101000.00000001.01000010
11111111.11111111.11111111.00000000
11111111.11111111.11111111.11000000
11000000.10101000.00000001.00000000---192.168.1.0
11000000.10101000.00000001.01000000---192.168.1.64
路由信息来源
-
直接路由、静态路由、动态路由
-
设备自动发现、手工配置、路由器通过运行某种算法自行计算出路由
直连路由的生成条件
-
接口双up
-
必须配置IP地址
路由优先级
路由项的优先级越小,则路由项的优先度越高。
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
RIP | 100 |
OSPF | 10 |
开销值
在静态路由和直连路由中,开销值为0。
等价路由-------目的地相同,且优先级(路由发现方式)与开销值相同,且下一跳不同。
[r1]ip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳(入接口)
下一跳------流量流经的方向的下一个路由器的入接口IP地址。
静态路由协议扩展配置
等价路由----进行带宽的叠加。
等价路由的形成条件-----来源相同的去往相同目的地的且开销值相同的路由(下一跳不同。)
例如:[pc1]ip route-static 0.0.0.0 0 192.168.1.3
[pc2]ip route-static 0.0.0.0 0 192.168.1.3
路由汇总
使用CIDR技术将连续的网段汇总成一个大的网段。
汇总要求:母网相同;掩码相同。
路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资
源。
缺省路由
缺省路由的目标网段----0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。到下一个接口无回应的口。
[r1]ip route-static 172.16.0.0 22 NULL 0
浮动静态路由
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
[r2]interface LoopBack 0 ----创建编号为0的环回接口
[r2-LoopBack0]ip address 192.168.1.1 24
[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
作业
自己做的链接:hcia 静态路由综合实验-CSDN博客
动态路由 RIP OSPF(贯穿整个网络)
自治系统---AS
as号--ASN---使用16位二进制进行标识----IANA(互联网数字分配机构)
-
AS内部使用的协议-----内部网关协议IGP
-
AS之间使用的协议-----外部网关协议BGP
动态路由分类
按照范围分
-
IGP
-
RIP、OSPF、IS-IS、EIGRP
-
-
EGP
-
BGP
-
对IGP协议进行分类
-
按照协议特点分类
-
距离矢量型协议------DV-----共享路由表
-
RIP、EIGRP
-
-
链路状态型协议------LS------共享拓扑信息
-
OSPF、ISIS
-
-
-
按照是否携带掩码分类
-
有类别路由协议
-
RIPv1
-
-
无类别路由协议
-
RIP------路由信息协议
基本概念
-
UDP协议------端口号520
-
目的IP地址
-
255.255.255.255(广播报文)----RIPv1
-
224.0.0.9(组播报文)------RIPv2
-
-
RIP使用路由的跳数作为开销值Cost,最大值16----代表本条路由可不用
-
算法:数据包中传递的开销值=本地开销值+1
-
-
周期更新(保活:保证两个路由器存货)
RIP算法---贝尔曼福特算法
-
当接受到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表
-
当接收到数据包中含有本地路由表中已经
RIP数据包
-
请求报文
-
应答报文
RIP计时器
-
更新计时器----30s
-
每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文。
-
-
无效计时器-----更新计时器*6
-
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为16。并且向外通知。
-
-
垃圾收集计时器------更新计时器*4
-
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
-
当垃圾收集计时器为0时,路由器会删除掉该路由项。
-
提问:在某时刻,某路由器的RIP路由表中共有30个路由项,其中cost值小于16的有23个,cost等于16的有7个,此时总共多少个计时器
31个
一个无效计时器,还有30个计时器
RIP周期更新
-
更新原因
-
基于UDP传输
-
RIP本身也没有可靠性机制
-
RIP本身没有保活机制
-
网络环路
-
依靠开销值
-
触发更新----一旦路由表有任意路由项发生变化,则激活
-
水平分割机制-----从此口进,不从此口出。
-
毒性逆转------将从某个接口进入的路由,在下一次从该接口发出,开销值设置为16
(在华为设备中水...........,毒性逆转互斥关系)
触发更新,除了可以避免大部分环路,实际最主要的作业是加快网络收敛速度。
R2-R3等价路由(缺省不行)
R4不能把左边的汇总
RIPv1
[r1]rip 1 ------启动rip协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 -----------选择版本---
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段主类!!!
-
激活接口
-
发布路由
Ripv2
[r1]rip 1 -----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip]version 1 ----选择版本一
v2比v1准确
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIPv2---**使用**
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIP扩展配置
-
手工汇总
-
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发
出接口配置
-
-
缺省路由--这里指的是是下发
[r3-rip-1]default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
静默接口----配置了静默接口的接口不能主动发送RIP数据包,只能被动接收
-
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态
-
-
手工认证-----RIPv2
-
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
-
加速收敛----减少计时器时间
-
全网均需修改
-
若只改一个,则该路由器处于浮动阶段
-
[r1-rip-1]timers rip 10 60 40
-
-
作业
ACL技术---是一种策略---中文名叫访问控制列表
安全 稳定 对于网络中的流量的一种处理方式(放通、拒绝)。
ACL功能
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许---permit
-
拒绝----deny
-
-
抓取流量
-
ACL经常与其他协议共同使用。-----所有动作均为允许。
-
ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认规则。(在华为中,为允许所有)。
ACL分类
-
基本ACL
-
基于IP报文的源IP地址定义规则。
-
编号:2000-2999
-
-
高级ACL
-
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则
-
编号:3000-3999
-------------以下只需要了解------------------
-
-
二层ACL
-
基于MAC地址来定义规则
-
编号:4000-4999
-
-
用户自定义ACL
1)全网可通
注意等端路由问题:例如:ip route-static 0.0.0.0 0 192.168.1.3
2)需求一:
-
pc1可以访问192.168.2.0/24网段,而pc2不可以。
-
分析:
-
仅对源地址有要求,配置基本ACL
-
基本ACL配置规则-----靠近目的进行配置(流量的出接口)
-
-
配置
[r2]acl 2000 ------创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符------32位二进制,0代表不可变,1代表不可变。
掩码:1代表不可变,0代表可变
反掩码:1代表可变,0代表不可变
通配符没有排列要求
[r2-GigabitEthernet0/0/1]traffic-fli
<span style="background-color:#f8f8f8">例1 仅允许192.168.1.1地址 rule permit source 192.168.1.1 0.0.0.0 例2 拒绝192.168.1.2和192.168.1.3通过 rule deny source 192.168.1.2 0.0.0.1 1100000.10101000.00000001.00000010 0000000.00000000.00000000.00000001 例3 拒绝192.168.1.0/24网段中的所有单数IP地址通过 rule deny source 192.168.1.1 0.0.0.254 1100000.10101000.00000001.00000001 0000000.00000000.00000000.11111110</span>
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253
0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest
ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100
练习
要求: 1、elnet服务器开启telnet功能 参考文档 2、pc1可以ping服务器、不能telnet服务器 3、pc3可以telnet服务器,不能ping服务器 注意出入口 outbound inbound
pc1 pc2注意等价路由配置 看前面的静态路由配置 注意下一跳公式
[r1]ip route-static 192.168.1.192 26 192.168.1.66
注意出入口流量方向
目标网段 掩码 下一跳
下一跳**-----流量流经的方向的下一个路由器的入接口IP地址**