1.先合理划分网段
2.给每个路由器的环回配ip地址
3.给每个路由器的接口配ip地址
4.给每个路由器配置静态路由
5.给r1,r2,r3,r4配置缺省路由保证能够与r5的5.5.5.5/24能ping通
6.给r1,r2,r3,r4配置空接口防止环路的产生
7.给100m接口(192.168.1.16/30)的优先级配置61
8.dhcp配置ip地址
笔记:
网络部署思路
1.拓扑的设计—IP地址的规划
2.实施
1.底层—所有需要需要配置IP地址的节点配置一个合法的IP地址
2.路由—全网可达
3.策略和优化
4.测试
5.排错
6.维护和升级
40 两台路由器,交换机若干
路由器的转发原理——路由表
当一个数据包来到路由器,路由器会基于数据包中的目标IP地址查找自身的路由表,如
果路由表中有相应的记录,则无条件根据路由表中记录的信息进行转发,如果路由表没
有记录则直接丢弃。
<r1>display ip routing-table —查看路由器路由表信息
Destination/Mask —访问的目标网段
Proto-协议 Direct—直连
NextHop——下一跳(流量经过的下一个路由器的入接口IP地址)
Interface—出接口
路由—指示去往未知网段的方法
静态路由—由网络管理员手工配置的路由
动态—由运行同一种动态路由协议的设备通过沟通协商最终自行计算得出的路由
静态路由—由网络管理员手工配置的路由
基础配置:
[r1]ip route-static 192.168.3.0 24 192.168.2.2
路由
2023年5月21日 14:01
[r1]display ip routing-table protocol static —过滤通过静态写的路由
[r1]ip route-static 192.168.3.0 24 GigabitEthernet 0/0/1 192.168.2.2——既写下一跳也写出
接口
[r1]undo ip route-static 192.168.3.0 24
拓展配置:
1.负载均衡—当对于路由器而言,去往一个目标网段,具有相同或者相似的开销,那么
可以同时写多条路径,形成负载均衡(主要目的是流量的分流)
2.环回接口
用来测试的接口—模拟用户网段
[Huawei]interface LoopBack 1
[Huawei]ping -a 192.168.1.1 2.2.2.2——可以指定ping的源IP和目标ip,如果不指定,则路
由器会递归路由表,使用递归到的接口IP地址作为源
3.手工汇总
当路由器访问目标网段具备相同的下一跳,同时这些目标网段是连续的(具备汇总的条
件)的情况下,我们可以进行汇总,写一条去往汇总网段的路由。
[Huawei]ip route-static 192.168.0.0 22 12.0.0.1
合理的规划IP地址能够尽量减少黑洞的产生,不能完全避免
4.路由黑洞
在汇总路由中,包含真实环境下实际不存在的网段,就会导致流量有去无回的现象,造
成链路资源的浪费。
5.缺省路由
ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
一条不指定目标的路由(由于掩码为0,所以可以代表整个IP地址范围)
6.空接口—解决环路问题
配置位置—黑洞路由器
[Huawei]ip route-static 192.168.0.0 22 NULL 0——汇总网段的路由指向空接口
最长掩码匹配原则——路由表的匹配原则(最优先)
7.浮动静态路由
ip route-static 0.0.0.0 0.0.0.0 21.0.0.2 preference 61
静态路由—由网络管理员手工配置的路由
动态—由运行同一种动态路由协议的设备通过沟通协商最终自行计算得出的路
由
静态路由—中小型网络
缺点:
1.在复杂网络环境,配置量大
2.不能自行随着网络结构的变化从而自己完成收敛
优势:
1.占用资源少
2.安全性
3.可控性
动态路由
优势:复杂网络环境下配置简单
能够随着网络的变化自行完成收敛
缺点:
1.资源占用大
2.安全性
3.可控制性—(可能出现环路)
分类:
区域—区域大小来分
AS—自治系统
AS内部的协议—内部网关协议—RIP,OSPF,---ISIS EIGRP
AS之间的协议—外部网关协议—BGP
AS号—区别和标识不同的AS—自治系统
动态路由
2023年5月27日 13:58
内部网关协议—
根据动态路由协议使用的算法不同
距离矢量型路由协议—共享路由表—RIP
链路状态型路由协议—共享拓扑信息—路由器周边的连接情况—OSPF
RIP—共享路由表中的路由信息—中小型网络
15跳的工作半径
目标网段
cost—开销值—跳数—经过路由器的数量
——同一种动态路由协议选路的重要依据
不够科学
静态—60
RIP—100
工作过程:贝尔曼-福特算法
对于R2而言,如果我收到一条我本地路由表没有的路由信息则直接将该路由信息刷新到自己本地路
由表中。
1.
对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源一致则刷新该路由信息到
自己的本地路由表中。
2.
对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的
路由信息中携带的开销值进行比对。如果本地路由表中的开销值小,则不刷新。
3.
对于R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的
路由信息中携带的开销值进行比对。如果本地路由表中的开销值大,则刷新。
4.
RIP — V1 V2—IPV4的网络环境
NG—IPV6
V2和V1的区别
1.V1是有类别的动态路由协议,V2是无类别的动态路由协议
有类别传递数据包过程中不携带子网掩码
2.V1不支持手工认证,V2支持手工认证
数据包携带密码
3.V1使用广播这种方式发送自己的数据包,V2使用组播这种方式传递自己的数
据包—224.0.0.9
RIPV2
request—请求包
response—应答包—(携带路由信息)
工作过程
初始化:RIP会向所有运行了RIP这种协议的接口发送RIP的请求包,用来请求邻
居的路由表。
接收阶段:
RIP的邻居收到请求包后,会将自身的路由表的路由信息打包(response)通过
广播/组播发送出去。
判断:根据算法判断那些信息需要加表。
RIP存在一个周期更新的机制—30S会发送一个Response包。—异步更新
RIP没有确认机制
RIP没有保活机制—RIP失效计时器(180S)
RIP的计时器:
周期更新计时器—30S
失效判断计时器—180S
垃圾回收计时器—120S
经过180S会将路由信息从自身路由表中删除,之后将改信息存储在缓存中,之
后在更新包会携带该路由信息,cost=16—带毒传输。
RIP—环路问题
16跳
触发更新
当一个网段消失,不需要等待周期更新,直接发送
水平分割—默认开启水平分割
从一个接口接收到的路由,将不在从这个接口发出
毒性逆转
从一个接口接收到的路由,从这个接口发出的同时会携带cost=16
如果同时启动水平分割和毒性逆转,将按照毒性逆转的规则执行。
配置:
[r1]rip 1—启动RIP进程
[r2-rip-1]version 2—选择RIP版本2
[r2-rip-1]network 12.0.0.0—宣告(RIP是主类宣告)
ACL—访问控制列表
配置一张ACL列表,列表包含设置好的规则,之后所有的流量按照对应的规则进行执
行,允许,拒绝。
访问控制—
ACL的匹配原则
自上而下逐一匹配,一旦匹配上,则不继续向下匹配
华为体系默认的ACL列表末尾隐含一条允许所有的指令(不做处理)
思考—默认拒绝所有
抓取感兴趣流—QOS
ACL的分类
基础的ACL—只匹配源 2000-2999
高级的ACL—可以即匹配源,也可以匹配目标,甚至可以匹配协议端口号等等
3000-3999
用户自定义的ACL—可以用户自定义相应的功能。4000—4999
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0
IP_ADDR<X.X.X.X> Wildcard of source—通配符
0 Wildcard bits : 0.0.0.0 ( a host )
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 —0代表不可变,1代表可变
(相当于匹配192.X.1.Y这样特征的流量)
[r2-acl-basic-2000]display acl 2000—查看ACL列表配置
Acl's step is 5—步长,一方面确定匹配顺序,方便规则之间插入一些规则
策略
2023年5月28日 14:26
[r2-acl-basic-2000]undo rule 5—删除ACL规则
1.写ACL列表
2.路由器的接口调用ACL列表,注意方向(一个接口的一个方向只能调用一张列表)
基础的ACL一般更靠近目标的位置配置
配置:
[r1]acl 3000—创建ACL 列表
acl number 3000
rule 5 deny icmp source 192.168.1.2 0 destination 192.168.3.3 0 —配置规则
调用位置—更靠近源
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000—注意调用的方向
[r2]display acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 deny tcp source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
destination-port eq telnet
rule 10 deny tcp source 192.168.4.2 0 destination 192.168.1.1 0 destination-por
t eq telnet
配置命令:
- 标椎ACL—由于其仅关注数据包中的源ip地址,故在调用时,应该尽量的靠近目标,避免误删;
创建编号为2000的acl列表;2000-2999编号均为标准ACL;一个编号为一张表;
[r2]acl 2000
[r2-acl-basic-2000]
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule permit source any
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
动作(允许或拒绝)源ip地址,可以使用通配符匹配,也可以为所有
注:ACL使用的是通配符,OSPF使用的反掩码;通配符允许0和1穿插交替使用;
[r2-acl-basic-2000]rule deny source 192.168.1.2 0
[r2-acl-basic-2000]q
ACL在编写完成后,需要调用方可正在生效
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
调用时注意方向
- 扩展ACL—由于扩展ACL精确的匹配了流量源和目标地址,故调用时尽量靠近源头,避免流量的浪费
- 仅关注源、目ip地址的 编号3000-3999位扩展ACL的编号
[r1]acl 3000
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
源ip地址 目标IP地址
无论源或目标ip地址,均可以使用any或者通配符自定义范围
[r1]int g0/0/0 接口调用
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
- 在关注源、目ip地址的同时,也关注数据包中的目标端口号或协议号
[r1]acl 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.4 0 destination 192.168.1.1 0 destination-port eq 23
以上的配置效果为,拒绝192.168.1.4对目标ip地址192.168.1.1同时目标端口号为23的访问—拒绝了Telnet
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3001
[r1-acl-adv-3002]rule deny icmp source 192.168.1.4 0 destination 192.168.1.1 0
以上配置效果,为拒绝了192.168.1.4对目标192.168.1.1的icmp访问—拒绝了ping
telnet 服务—远程登录服务 基于TCP的目标端口号23
telnet 就是终端设备通过网络环境远程管理配置设备的服务;
条件:终端和服务段网络可达,同时被登录设备开启了远程登录服务
路由器上配置远程登录的命令:
[r1]aaa
[r1-aaa]local-user zzz privilege level 15 password cipher 123456
Info: Add a new user.
[r1-aaa]local-user zzz service-type telnet
[r1-aaa]q
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa