RIP:
不同种路由协议之间选路靠优先级
直连 0
静态60
RIP 100
OSPF 10
RIP----跳数---15跳工作半径
COST--开销值----同一种动态路由协议选路比较开销
- 对R2而言如果收到一条本地路由表没有的路由信息则直接录入该路由信息
- 对R2而言如果收到一条本地已有的路由信息,如果来源一致则刷新该路由信息到自己的本地路由表中
- 对R2而言如果收到本地已有的路由信息,若来源不一致,则跟自身的开销值进行比对。若自己的开销值小则不刷新,若自己的开销值大则刷新。
RIP的version
V1:
有类别的动态路由协议(不携带子网掩码,靠主类区分;
广播发送自己的数据包;
V2:
是无类别的路由协议携带子网掩码)
组播发送;
过程:
Request请求包(路由端):会向任何开通了RIP协议的路由器要路由表
Response应答包:邻居收到后回复
RIP每30S发送一个应答包----周期更新
RIP没有确认机制,没有保活机制,无法取消周期更新存在资源浪费
同步更新:同时发送数据包
异步更新:存在先后
选择异步更新:防止网络拥堵
RIP的计时器(计时器针对自身不对全局):
1.周期更新计时器:T=30
2.失效计时器:路由器出现问题需删除:T=180
3.垃圾回收计时器:T=120
RIP的环路问题
异步更新:16跳
触发更新:一旦网段缺失,先删去路由表该段路由,随后发送数据包-----并不能完全解决环路问题
RIP水平分割:从一个接口收到路由信息将不再从这个接口发出
RIP毒性逆转:从一个接口收到路由信息,再次从这个接口发出时会携带开销为16
华为默认开启水平分割
如果一个路由器开启水平分割又启动毒性逆转,将按照毒性逆转进行转发
RIP的配置:
一:RIP《1-65535》
[R1]rip 1----Process ID:RIP1和RIP2是两种完全不同的进程;ID不同协议不同
二:[R1-rip-1]version 2---选择v2版本
三:[R1-rip-1]network 1.0.0.0-----宣告网段信息(主类宣告A B C D E);目的:激活接口(只有激活的接口才能正常收发RIP的数据包),发布路由
四:[R1-rip-1]undo summary-----关闭自动汇总,防止宣告成主类
RIP的拓展配置
- RIP的手工认证:
目的:保证更新安全
配置:
进入接口,rip authen md5/simple usual cipher/plain(都为密码)
对接口进行明文认证: simple cipher
对数据进行秘文认证:md5 usual plain 加密特点:
- 不可逆推(md多次加密后不能逆推密码) 2.雪崩效应
2.RIP的手工汇总:人工将该路由器上的网段汇总后进行配置
[R1-GigabitEthernet0/0/0]rip summary-address 192.168.1.0 0.0.0.255-----往哪方向传就进入哪个接口进行配置
3.RIP的沉默接口:有PC端路由器给PC发路由表无用,但PC需要给路由表发数据包
[R1-rip-1]silent-interface g0/0/1
4.RIP的加快收敛---计时器---300S------每个路由器都必须做统一
[R1-rip-1]timers rip 10 60 80--------timer rip 10(更新时间:默认30) 60(老化时间:默认180) 80(收集垃圾时间:默认240)
5.缺省路由
[R1-rip-1]default-route originate
OSPF
- 选路
- 收敛速度
- 资源占用
OSPF 的version:
v1
v2:ipv4
v3:ipv6
简介:
- OSPF需要进行区域划分
- OSPF的区域划分可以按照实际情况考虑(区域划分的要求也叫评判标准:必须有ABR;必须按照星型结构进行划分)
- ABR-区域边界路由器,属于不同的区域-----两个区域之间可以有多个ABR,一个ABR可以连接多个区域。
- OSPF的中间区域叫做骨干区域----默认为area 0
- 区域ID:二进制构成
RIP和OSPF对比
不同:
- RIP适用小型,OSPF适用大型
- OSPF需要进行区域划分,RIP无需-----OSPF的区域划分可以按照实际情况考虑(区域划分的要求:必须有ABR;必须按照星型结构进行划分;ABR-区域边界路由器,属于不同的区域;OSPF的中间区域叫做骨干区域;区域ID:二进制构成
- RIP:依据跳数---不够科学,可能成环;OSPF---开放式最短路径优先协议----链路状态路由协议。-----收发拓扑信息(LSA)----计算得出路由条目
相同点:
1.RIP V2 OSPF V2:都是无类别动态路由协议。----汇总和子网划分
2.都支持组播传递路由信息
3.都支持等开销负载均衡
OSPF的数据包和RIP数据包
1.RIP的两个数据包:
Request---请求包
Response包---应答包
2.OSPF的五个数据包:
Hello包----周期性的发现建立和保活邻居关系----带RID包
①周期:发送Hello周期10s(有些情况30s),dead time周期四倍的hello时间
②RID--路由器ID :
区分不同的OSPF网络路由器的身份,保证唯一性,起名要求格式统一----32位2进制;
ID可以手工配置也可以自动生成(手动优先),自动生成则先查找是否有环回地址,
Ⅰ.如果存在则选择最大的作为自己的RID,
Ⅱ.如果没有则选择物理接口IP地址最大的作为自己的RID
DBD包---链路数据库描述包(发送简单拓扑摘要)----LSDB存LSA(拓扑信息)
LSR(request)包---请求未知的路由信息
LSU(update)包---携带LSA信息的数据包----发送实际的拓扑信息
LSACK包----作用相当于确认
OSPF的状态机---描述路由器间不同的状态
Down State:协议关闭状态
Init State:发送了自我介绍后,等待其他人回复
Two-Way State:双向交互,回复自己及邻居的RID,互相认识成为邻居。
条件匹配:成功则进入下一个状态,失败则停留在邻居
Exstart State---主从关系的选举(选举老大):预启动状态,抢先进入下一个状态,RID更大的当老大,因为是异步更新,老大先发送信息---使用的是未携带关键数据的DBD包
Loading State----在互发信息比对之后,要自己没有的路由信息
Full State----达成邻接关系,路由器间可以发送LSA信息
OSPF的工作过程
建立邻居关系----
启动配置完成后,邻居间开始收发hello包;hello包中将携带本地及本地所有已知邻居的rid;之后生成邻居表;邻居间需要关注是否可以成为邻接的条件;若不能建立为邻接,将保持为邻居关系,仅hello包周期保活即可;
若可以建立邻接关系;将使用DBD进行本地数据库目录的对比;之后基于对比的结果,使用LSR/LSU/LSack来获取本地未知的LSA信息;使邻接关系间数据库(lsdb)完成同步(一致),生成数据库表;
之后本地基于lsdb,使用spf算法,生成有向图—>最短路径树—->计算本地到达所有未知网段的最短路径,将其加载到本地路由表中;收敛完成;
收敛完成后,邻居和邻接关系间均hello每10s保活;每30min一次邻接关系间周期数据库比对,保障一致。
OSPF的基础配置命令--
[R2]ospf 1 router-id 1.1.1.1 -----进入OSPF协议配置RID
[R2-ospf-1]area 2
[R2-ospf-1-area-0.0.0.2]---选择区域,单区域OSPF默认属于区域0
[R2-ospf-1-area-0.0.0.2]network 192.168.1.0 0.0.0.255---宣告要加反掩码,0对应不可变,1对应可变,反掩码使宣告范围更可变(Network 192.168.1.1 0.0.0.0---精准宣告1.1.1.1的IP地址)
[R2-ospf-1]display ospf peer ----查看邻居状态
[R2-ospf-1]display ospf peer brief ----查看邻居简表
[R2-ospf-1]Display IP rou-table protocol ospf---过滤OSPF协议的路由
OSPF的结构突变问题:
新增/断开一个网段时怎么办?-----OSPF和RIP一样有触发更新机制
无法沟通?---有dead time来判别
OSPF开销的计算公式:参考带宽(一般默认100M)/实际带宽。
改参考值操作:
OSPF 1----进入OSPF 1
[R2-ospf-1]bandwidth-reference 1000---同一个区域每个路由都应该进行操作
链路数据库表:
Display ospf lsdb----简单摘要
Display ospf lsdb router 2.2.2.2----展开一条LSA,详细参数信息
条件匹配
DR---指定路由器:在一个广播域内和其他所有路由器都建立邻接联系
BDR---备份指定路由器:和DR一样要与其他路由器建立邻接关系
DRother--其他路由器(普通路由器)
Priority:1---为了选出DR和BDR,比较选出DR,数值大的成为DR,第二成BDR,默认情况下数值为1
数值配置:
Int g0/0/1
Dr-pri 20---数值设置为20
如果都没有改优先级,默认为1,则看RID大小,大的做DR;
数值为0,则视为放弃DR和BDR的选举。
DR的选举是非抢占的---使网络环境更稳定
DR的选举是周期性的:时间为最长死亡时间
<ri>reset ospf process---重启OSFP协议,可以立即选举DR
拓展配置
1.OSPF的接口认证
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456---1 代表的是设置一把锁
2.手工汇总
区域汇总
Ospf 1--进入进程
Area 2---进入区域
[R2-ospf-1-area-0.0.0.2]abr-summary 192.168.1.0 255.255.255.0---区域汇总,只能写掩码;对ABR进行区域汇总;和rip 不同这里写的不是反掩码。
3.沉默接口
Ospf 1
Silent-int g/0/0/1-----和RIP相似
4.加快收敛--计时器
Int g0/0/0
Ospf timer hello 5----改变hello时间,dead time会以4倍的关系自动更改;和RIP不同这里只需要改变HELLO时间一个参数
5.缺省路由
[R2]Ospf 1
[R2-ospf-1]default-route-advertise---前提是自身必须包含一条缺省
[R2-ospf-1]Default-route-advertise always---强制下发缺省
ACL--访问控制列表
Acl的功能
1.访问控制:在路由器的流量流入或者流出的接口配置ACL,匹配流量,对不同的流量执行设定的动作。
(permit-允许,deny-拒绝)
2.抓取流量(抓取感兴趣流)--和其他的一些协议或者服务结合使用,ACL只抓取流量,具体动作看具体的协议。
ACL的匹配原则:自上而下逐一匹配,一旦匹配成功则不继续向下匹配。
思科:末尾隐含一条拒绝所有的规则。
华为:末尾隐含一条允许所有的规则,默认实际上不做处理
ACL的分类:
基础ACL-仅关注数据包中的源IP地址
高级ACL-除了关注 源IP还关注数据包的目标IP,以及一些端口号和协议类型
二层ACL-MAC地址
用户自定义的ACL-
配置:
Acl ?
2000-2999--基础ACL
3000-3999--高级ACL
4000-4999--L2(二层ACL-MAC地址)
基础ACL:
一般更靠近目标,原因:基础的ACL只关注源,所有靠近目标能够减少失误
操作:
ACL 2000---先进入ACL 2000
[R2-acl-basic-2000]rule 1 deny source 192.168.1.2 0.0.0.0---通配符,类似于反掩码,但无需连续如0.255.0.255
配置完成后对接口进行调用操作:
Int g0/0/0
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000----对流出的接口进行调用
[R1-acl-basic-2000]rule permit source any ----允许所有源访问
[R1]Display acl 2000---查看ACL列表
{
Rule 5 deny source 192.168.1.3 0
Rule 10 permit ------这里的5 10 是ACL列表的上下顺序,常值设置为5
}
高级ACL:一般更靠近源
[R1-acl-adv-3000]rule deny ?
Rule 1 deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0----icmp用于在IP主机、路由器之间传递控制消息
对于调用:一个接口只能对应一张RULE.
Int g0/0/1
Traffic-filter inbound acl 3000----高级ACL要选择近的路由器进行配置
高级acl对端口号的使用
Eq--等于
Gt--大于
Lt--小于
Range--区间
[R1-acl-adv-3000]rule 2 deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.
5.1 0.0.0.0 destination-port eq 23-----只拒绝端口号为23的telent协议
685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
