扩展配置 :
RIP V2 的手工汇总
RIP V2 的 认证
被动接口
加快收敛
缺省路由
RIP V2 的手工汇总 :
示例 :
现在 AR1 上 有两个 环回, 一个是 1.1.1.0 /24 一个是 1.1.2.0 / 24
那大家先想一想 如果是静态路由的话我们是怎样配置的 ?
===>>>
那就是在 AR2 和 AR3 上 添加 一条路由 ( 添加汇总好的路由 )
静态是需要去给其他路由器去写路由!
动态的话 :
===>>>
需要在 AR1 上宣告这两个环回, 然后其他设备就自动就学习到这两个
AR1 上的环回了。
那学到了几条呢??
当然是两条了,因为是两条环回啊。
这就引出 手工汇总了
===>>>
所谓手工汇总就是 想要 其他设备在学习 AR1 上两条 环回的
时候,不要学到这两个环回 ( 就是路由表里不要出现两条路
由,而是直接学到一条 1.1.0.0 / 22 的路由( 即 汇总后的 )
操作 :
我们就 接着 在刚才 V2 版本配置里进行 手工汇总操作
首先呢, 先给 AR1 上 加一条 1.1.2.0 / 24 的环回
[Huawei]interface loopback2
[Huawei-LoopBack2]ip add
[Huawei-LoopBack2]ip address 1.1.2.1 24
那现在, AR1 就有两个 环回了。
需要注意的是 :
我们在最早进行 V2 版本的操作时,是给 AR1 的第一个环
回进行了宣告的,那现在又额外的增加了一条 环回,请思
考我们还需要再 对这个新增加的 环回进行宣告嘛??
===>>>
答案是否定的,不需要,是因为我们当时在对
V2 版本进行配置的时候 已经宣告的就是
1.0.0.0 ,就是说 之前宣告的 1.0.0.0 主类网
络号已经包含了 现在新增加的 环回地址,所
以不需要再宣告了
# 也就是说 动态路由协议 当 AR1 上 宣告后,其它设备就自动就会学到!
那现在就是 AR2 AR3 学到的是两条路由 ( 之前 AR1 的环回,和现在新
增加的 环回 )
# 那么手工汇总就是 想把这两条路由汇总成 一个
# 手工汇总 动态和静态的区别就是 :
静态 : 是需要在每个设备去增加路由
动态 : 就是 源头 自己发!! 配置起来就相当简单 !!
就是 在 AR1 这个源头 发这个路由的时候就给 AR1 说以后别
发两条了( 两个 环回 ) 直接发汇总就行 ( 两个环回的汇总)
手工汇总 : 在更新源头设备上, 所有更新发出的接口上 进行汇总配置即可 !!
配置 :
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]rip summary-addre
[Huawei-GigabitEthernet0/0/0]rip summary-address 1.1.0.0 255.255.252.0
注 :
# 这是在 AR1 上进行的配置 ( 纯属废话,环回都是AR1 的,不在 AR1 在哪里?)
# 请留意配置的 接口 是 0/0/0 ( 这就对应了 更新发出的接口 )
# 还需要注意的是 :你会发现 掩码 的变化,掩码需要 写齐 这是规定 !!不可以写成22
配置完后 我们看下别的 路由表里的条目 :
显然,在路由表里的条目 从两条变为了 一条汇总后的路由! 并且是携带掩码的哦!!
有个小问题 :
刚才呢 是在 AR1 上 做的两个环回,然后进行的 汇总配置 !
那现在,我们在 AR2 上 有两个 环回, 一个是 2.0 /24 一个是 3.0/24
在没有进行手工汇总前, 对于 AR2 来说 它的左接口会给 AR1 发两条路由
也会给 AR3 发两条路由!!
那先在手工汇总后,我们希望的是 给 AR1 发一条 ( 汇总后的 ) 给 AR3 也发一条 ( 汇
总后的 )
好,问题来了 ,那现在我给 AR2 的右接口进行手工汇总的话,那么 对于 AR3 来说势必
收到一条路由( 汇总后的)
那么,对于 AR1 呢 ??也就是 AR2 的右接口进行了手工汇总后,对于
AR2 的左接口 有没有影响?? AR1 会收到一条路由吗?(汇总后)
===>>>
答案是否定的,肯定的啊, AR1 肯定还是学两条路由,因为
并没有在 AR2 的左接口进行 手工汇总配置啊!!!
上示提到的小问题 就是为了对应 在前面 手工汇总 里介绍的 所有 俩字 !!
注 : 也只有 RIP 的 V 2 版本能够 进行手工汇总 ( 因为 V2 有掩码呀 !!)
RIP V2 的 手工认证 :
官方 : 在两台运行 RIP 协议的路由器间 进行管理 让两台邻居设备发出的数据中携带
身份核实的密钥也可同时对传输的路由信息进行加密。
配置 :
我们现在以 AR1 和 AR2 之间 做 手工认证
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]rip authentication-mode ?
hmac-sha256
md5 MD5 authentication
simple Simple authentication
# 上示 : 在 AR1 上 与 AR2 相接的接口上 进行配置 ( 0 / 0 / 0 )
authentication : 叫 认证
authentication-mode : 认证模式
模式有 : md5 simple
md5 : 严谨的讲其实不太是所谓加密, 它是把字符串打花(是一种 哈
希散列算法 )
simple : 不加密
因此,我们要选 md5 模式
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 ?
nonstandard Nonstandard MD5 authentication packet format (IETF)
usual Huawei MD5 authentication packet format
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual
# 选了 md5 后,就是 要不要 带值
nonstandard : 不带值
usual : 带值
因此,我们得选 带值
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual ?
STRING<1-16>/<24,32> Plain text/Encrypted text
cipher Encryption type (Cryptogram)
plain Encryption type (Plain text)
# 数据加不加密 当然是 加密
cipher : 加密
我们选择 cipher 加密
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
# 123456 就是我们 自己想的密码 ,用来做 手工认证 校对的密码!!
注 :
* 操作地点 : 在所手工认证的时候,必须是在 邻居相互连接的接口上配置
* 刚才所有的操作,123456 之前的所有操作,几乎都是确定的就按照那个套
路配置就行,而 123456 就是我设的密码 ,两边的密码是必须一致的!!
小问题 :
那现在,只经过刚才的配置,其实已经出了一个小小的问题 :
===>>> 什么问题呢 ??
你想 : 我们手工认证 是 两台邻居设备 之间的相互认证,那刚才,我们是怎样
的?? 我们只给 AR1 的接口进行了 手工认证的配置,并没有给
AR2 进行手工认证
===>>> 那意味着什么 ??
意味着 当 AR1 进行了手工认证 而 AR2 没有进行认证的时候,那相
互之间就对不上号了 ( 因为 有密码认证啊 , 那他们之间不是还要
进行沟通嘛。不是每隔 30 秒 他们要进行更新包的传递嘛 --当然了,
肯定不会同步,因为是异步周期呀。 )
所以,当 AR2 给 AR1 每隔 30 秒 发更新包时,那AR1 现在有手工认
证了, AR1 还会 认 AR2 的包嘛??? 不会!!!!!!!!
也就意味着,虽然现在 AR2 给 AR1 每隔30 秒 还发包,但是 AR1 不
会再认了,也就是说 再过 180 秒后( 在这180秒内,AR2 当然还会继
续给 AR1 每隔30秒发包 )一切都会结束, AR1 会删除自己从 AR2
那里学到的 路由,同理,AR2 也会再自己的路由表里删除从 AR1 那
里学到的路由!!!!
* 在 180 秒内 AR1 AR2 的路由表 :
AR1 :
AR2 :
* 在 180 秒 过后 各自的 RIP 路由表 :
AR1 :
这是说 AR1 上已经没有 RIP 路由表了,因为 拓扑结构的特殊原因!
AR2 :
自己的 RIP 路由表已经没有 关于 AR1 的路由了!!!
* 因此,我们还需要给 AR2 进行 手工认证
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
* 当 AR2 进行了手工认证后,就会发现它的 RIP 路由表已经恢复了:
数据抓包 :
# 这就是 AR1 与 AR2 进行手工认证 的 数据抓包 !!
# 明显可以看到 和 没有进行手工认证 数据抓包的区别 :
除了 应用层 ( RIP ) ,其余各层都基本一样 ,就是 应用层不一样了 !!
变红色了,并且你点开已经 看不懂了里面的内容了 !!
因为加密了呀!!!!!
所以 AR1 与 AR2 之间的沟通就相对来说 要更安全点 !!!
被动接口 :
在思科是叫做被动接口,其实在 华为是叫做 沉默接口 !!
官方 : 仅接受不发送路由协议信息;仅限用于连接用户 PC 的接口,不得用于连接路由器
邻居的接口,否则将导致邻居之间无法发送路由协议信息 !!
拓扑举例 :
我们就拿本拓扑举例 :
上示拓扑呢,其实在上篇基础配置的时候,我们当时在 宣告 那里就已经强调过,这
几个被动接口了( 只不过当时并没有 以 被动接口 去称呼 )
在本拓扑中呢,三个环回,其实大家也清楚,在真实的环境中,是不会有这些环回接
口的,这三个环回将会是 实实在在的接口( 就会往下面连接 交换机
再连接电脑等 设备 )
那在 真是环境中呢就会出现一些问题 :
红色 和 蓝色都是接口 ,蓝色时环回接口,倘若在真实情况下则是要连接交换机,连
接电脑的!!!
那我们倘若要 启动 RIP 协议,那就意味着 在整个拓扑中所有的接口都是要被宣告
的无论 红色接口 还是 蓝色接口 ,是都要被宣告的!!!
那问题就来了 :
===>>>
蓝色的接口 被宣告后,自然没有什么问题,而蓝色的接口倘若被宣告了,
而不做任何措施的话,那也就是我们上篇讲的,就会出现 占用链路,安全
风险等问题
===>>>
所以,我们需要把 蓝色的接口( 环回接口 ) 调成 被动接口,让他们不
往下面传送路由协议信息!!!
但是,千万千万要注意的是 不能把 红色接口 调成 被动接口 !!!
不然路由器之间都没法通讯了呀 !!!
配置 :
AR1 :
[Huawei-rip-1]silent-interface GigabitEthernet 0/0/0
注意 :
我们这里用 0/0/0 接口来充当那个 在真实环境下 连接的电脑!!
因为环回接口是在 虚拟的呀!! 所以 环回接口配不了 被动接口 !!
加快收敛 :
RIP 计时器 :
# 在之前的文章其实我们已经讲过 RIP 计时器了,我们再讲下 !!
# 那计时器都有哪些时间?
===>>>
30S 更新 180S 失效 180 S 抑制 300 S 刷新
示例 :
1 路由器呢 有一个环回 1.0 ;正常就传给 2 ,2 再传给 3
2,3 呢 当收到这条路由的时候就开始计时,从 0 秒 开始计时,计到30 秒的时
候; 1 就又会发一次,那当 2, 收到的时候,就会把时间归零,就是只要 2,3收
到路由 ( 2 收到 1,3收到 2 呗 ) 从 0 开始 又计时!!
那么,也就是说 正常的情况下,2,3的计时器 一般时间都会在 0~30 秒 内循环
那不正常的情况就是 :
===>>>
2,3 的计时器 30 秒 已经到了,但是还没收到 路由 ( 2 没收到 1的,
3 没收到 2 的)
那也就是说 已经超过了 30 秒 !!
当然这种原因也很多 :
比如, 那边做了加密,我这边看不懂,要么就是 我这边做了加密那
边看不懂。
比如, 网络卡了
比如, 直接有一个路由器 直接 钢镚 关机了
等等等等等 ( 原因太多了 , 总之,就是没收到更新包-路由 )
那怎么办 ?
===>>>
等呗------ 等多长时间呢 ?
180 秒 !!!
=== >>>
只要 180 秒 内 ,呀!! 又重新收到了更新包( 路由 )
不管什么时候,又收到了!!
那就继续恢复正常,继续从 0 开始计时!!!
=== >>>
那要是 180 秒 内没等来呢 ??
还不来 ,那 2 就知道 这个路由废了!!
于是 2 就会把 从 1 学到的 这个 1.0 路由 作废( 注意不
是删除,是作废,就是放在自己的缓存中 )
180 秒之前 2 都会认为这条路由还是能用的!!
现在,180 秒 更新包没来,那 2就会认为 这个路由 废掉
了!!! 2 也会告诉 3这条路由不能用了 ,3 没啥别
的,就直接 把这条路由删除掉!!!
2 呢,还会继续等,直接等到 300 秒,就会彻底把这条路
由删除,其实 180 秒的时候 就已经废了!!!
以上就是 : 30s 更新 180 S 失效 300 S 刷新 的 时间线!!!!
接下来看 180 S 抑制 :
平时没它事儿,平时一般都是 那三个 计时器操作 !!
180S 抑制 它是在 出环的时候 出来工作的 !!
===>>>
大家想,倘若出环了,好比就在 1,2 之间出环了 ,
那势必跳数会增加啊!!! 会加大啊!!
正常情况下,你告诉我 去某某某 是 1跳,下一回你突然又
告诉我又成 两跳了!! 那势必不正常啊!!
那肯定是出环了啊!!
常规的跳数增大也是会有的 :
比如,先断开再重连, 1,2 之间断开了,在1,2之间又重新添加
了一个 设备,那这种情况 势必跳数增大 !!
那现在都没有理由,没有一点征兆( 就上面说的增加了一个设
备)跳数就增大了 !! 那势必就是 出环了!!
所以,抑制计时器就会在 无征兆跳数增大的时候出来工作,会抑
制180 S
怎么工作 ?
===>>>
就是不需要这个路由,收到也当没收到,除非收到的
是原来的跳数!!
生生拖到 失效计时器( 180 S )
===>>>
拖到 180 S 就会重新计时, 重新收敛 !!!
抑制计时器 也是 RIP 破环机制的一种方法 !!
修改计时器 :
# 计时器呢,其实,也是可以人为修改的 !!
人为修改计时器可以一定程度的加快协议收敛速度!!
# 抑制计时器 180 S 这个是修改不了的!!
只能修改 另外 三个计时器 !!
只不过要注意以下几点 :
# 修改时 ,不易修改过小
# 尽量维持原有的倍数关系,原来是几倍,现在还是几倍几倍的关系!!
# 全网的所有设备计时器 需修改为一致 !!
配置 :
[Huawei-rip-1]timers rip ?
INTEGER<1-86400> Periodic update time (seconds)
[Huawei-rip-1]timers rip 30 180 300
可以看到 , ? 下面显示的就是 三个时间 更新 失效 刷新
缺省路由 :
官方 : 在边界路由器上进行 RIP 的缺省配置后,该设备将向内部 运行 RIP 协议的路由器
发送缺省更新,使得内部所有的 RIP 设备自动上传 缺省路由,下一跳指向边界路
由器方向;而边界路由器上指向 ISP 的缺省,还是需要管理员手工静态路由配置
示例 :
有三台路由器, 连着 ISP !
我们静态路由是怎么弄得 :
===>>>
3 配个缺省指向 ISP , 2 配个缺省指向3,1配个缺省指向2!
RIP 弄缺省 :
===>>>
在 3 上 配个命令,就会以 RIP 的名义往里面发个消息,就会让里面的路
由自动有个缺省, 1 就会有个缺省指向 2 ,2 也就会有个缺省指向 3。
而 3 的缺省需要我们自己 以静态的方式去手工配置 !!
因为 3 相当于是 边界路由器,下一跳是 ISP( 中国电信 )
配置 :
我们就假设 AR3 上连接着 ISP
AR3 :
[Huawei-rip-1]default-route originate
我们在 AR3 上进行的 RIP 静态配置 !
default-route : 默认路由
default-route originate : 就是 缺省信息的源头 !!
我们看看 AR1 AR2 的路由表 :
AR1 :
看到了 0.0.0.0 ( 缺省 ) 下一跳是指向 12.1.1.2
AR2 :
可以看到 ,路由表里 多了一条 0.0.0.0 ( 缺省 ) 并且下一跳指向 23.1.1.2
注 :
当然了,我们这拓扑 上 是没有 ISP ( 运营商 ) 的,所以,完整的讲,是应该要给
AR3 进行静态手工配置指向 ISP 的,但是由于没有 ISP ,所以就不展示了 !!