rip回顾
路由信息协议
距离矢量型 IGP 的动态路由协议
版本号:v1/ v2 NG(ipv6专用)
周期更新30s 使用跳数作为选路的度量
防环机制: 毒性逆转、水平分割
v1 有类别 A/8 B/16 C/24
v2 无类别
v1与v2的区别:
1.v1有类别,更新不携带掩码
v2无类别,携带掩码;且支持子网划分、子网汇总
2.更新地址--v1广播更新v2组播更新
3.v2支持认证
rip的扩展配置
1.RIPV2的手工汇总
在更新源路由器上所有更新发出的接口上配置汇总命令即可
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]rip summary-address 1.1.0.0 255.255.252.0
2.RIPV2的认证
在路由协议的邻居间直连接口设定身份核实密钥,同时对邻居间传递的路由进行加密;来保障更新的安全性
[r1]interface g0/0/1 进入直连邻居的接口
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456 (秘钥)
3.沉默接口
用于路由器上连接用户终端的接口,这些接口在沉默后即使被宣告,依然不会周期发送路由信息;绝对不能用于连接邻居的骨干链路,否则将导致邻居间无法共享路由信息
[r2]rip
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
4.加快收敛--计时器
更新30s 失效180s 刷新 300s(cisco 240s) 抑制计时器 180s
通过修改计时器的值,可以加快协议的收敛速度;修改时尽量维持原有倍数关系,且不易修改的过小
[r2]rip
[r2-rip-1]timers rip 30 180 300 建议整个网络所有设备修改为一致;
5、缺省路由--边界路由器上配置缺省命令后,将向内部发送一条缺省信息;使得内部所有路由器自动生成缺省路由指向边界路由器位置;但边界路由器上指向ISP的缺省需要管理员静态指定
[r3]rip
[r3-rip-1]default-route originate
OSPF
开放式最短路径优先协议
无类别链路状态型(LS)IGP协议;组播更新--224.0.0.5 224.0.0.6
基于拓扑进行触发更新和周期更新(30min);需要结构化的部署--区域划分、地址规划
1)OSPF的数据包类型
hello 包--邻居、邻接的发现、关系的建立以及10s周期保活
DBD数据库描述表
LSR链路状态请求
LSU链路状态更新
LSack 链路状态确认包
2)OSPF的状态机
Down 启动ospf协议后,接收到其他设备发送的hello包进入下一个状态
Init 初始化 接收到的hello包中若存在本地的RID进入下一状态
2way双向通讯 邻居关系建立的标志 代表相互认识
关注条件:
Exstart 预启动 使用不携带数据库信息的DBD包进行主从关系的选举,RID数值大为主,优先进入下一个状态
Exchange 准交换 使用携带数据库目录信息的DBD包共享各种的数据库目录
Loading 加载 查看完其他设备的目录信息后,基于本地未知的LSA信息,使用LSR进行查询,对段使用LSU进行更新,需要ACK包进行确认;
Full转发 获取完所有未知的LSA信息后,双方关系最终确认为邻接关系;
LSA:链路状态通知--具体的一条一条拓扑或路由信息,基于LSU包进行共享;
3)OSPF的工作过程
启动配置完成之后,邻居间收发hello包,获取对端的RID ,建立邻居关系,生成邻居表;
之后需要关注条件,若条件不匹配将保持为邻居关系,仅hello包周期保活即可;若条件匹配可以建立邻接(毗邻)关系;先使用未携带数据库目录的DBD包来进行主从关系的选举;之后由主引导先后顺序使用携带目录信息的DBD包共享数据库目录;之后本地基于其他设备的目录,判断出本地未知的LSA信息,再使用LSR/LSU/LSack来通过邻接获取具体的LSA信息,完成本地的数据库表(LSDB链路状态数据库);
本地数据库完整后,本地将基于数据库中的内容启动SFP算法,将数据库整理为有向图-->最短路径树--将本地到达所有未知网段的最短路径加载于本地的路由表中;
路由表建立完成,收敛结束;之后每10s使用hello包周期保活;每30min邻接间进行一次数据库目录核对;
结构突变
1、无法沟通 hello time10s,dead time 40s
2、新增网段
3、断开网段
4)OSPF的基础配置
[r1]ospf 1 router-id 1.1.1.1 启动时定义进程号,仅具有本地意义;RID为每台ospf路由器的名字;格式为ipV4地址,要求全网唯一;手工指定---》本地环回接口上配置的最大数值地址-->物理接口上最大数值的地址
宣告:OSPF协议的宣告时,需要同时划分区域
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255
[r1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0
OSFP在宣告时,需要使用反掩码进行地址范围的匹配;
区域划分规则:
- 必须为星型结构 -- 必须存在骨干区域,编号0;非骨干区域编号>0;所有非骨干区域必须连接到骨干区域;
2、必须存在ABR -- 区域边界路由器 直连的邻居间必须处于同一区域,否则无法建立邻居关系
宣告配置完成后,邻居间收发hello包,建立邻居关系,生成邻居表;
[r2]display ospf peer
[r2]display ospf peer brief
邻居关系间后,条件匹配者间可以建立为邻接关系;邻接关系间将使用DBD/LSR/LSU/LSack来同步数据库获取所有未知的LSA信息;完成数据库的同一;
生成数据库表:
[r2]display ospf lsdb
数据库同步完成后,本地使用sfp算法计算到达所有未知网段的最短路径,然后让其加载到本地的路由表中;
Ospf协议默认优先级为10;度量为cost值;
Cost= 参考带宽/接口带宽
默认参考带宽为100M; 默认cost小于1算1;
ospf选择cost值之和最小的路径加载到路由表;
当接口带宽大于参考带宽时,将可能出现选路不佳;建议修改参考带宽;
[r1]ospf 1
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000 全网所有设备需修改为一致
5)OSPF 的扩展配置
1.从邻居建立为邻接的条件 和网络类型有关
网络类型:
点到点(只能接两个口,窜线)- -在一个网段拓扑中只能存在两个节点
MA(以太网网线)----------------------------选举DR/BDR,非DR/BDR之间保持为邻居关系;40s(选老大/老二;老大(老二)和小弟之间是邻接关系),小弟之间领居关系
选举规则:1、先比较所有参选接口的优先级,0-255;默认为1,大优;
2、若优先级相同,比较RID,数值大优
[r1]interface GigabitEthernet 0/0/2
[r1-GigabitEthernet0/0/2]ospf dr-priority 3 进入参选接口,修改优先级
注:由于DR/BDR选举需要消耗40s,故为保障网络的稳定性,选举是非抢占的;
一旦一个网段选举完成后,再修改优先级除非设备重启,否则无法干涉到结果;
若需要干涉选举时,可以重启所有设备的ospf进程;
<r1>reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]:y
最建议的方法是修改非DR/BDR设备的优先级为0,0代表不参选;不用重启进程
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
在连接邻居的接口上配置,要求邻居间模式、编号、密码完全一致;
【3】手工汇总-- 由于ospf在区域内传递的是拓扑信息,故不能进行手工汇总;只能在区域间的ABR共享路由条目时进行汇总配置;OSPF不支持接口汇总,支持区域汇总
[r2]ospf 1
[r2-ospf-1]area 0
[r2-ospf-1-area-0.0.0.0]abr-summary 1.1.0.0 255.255.252.0
以上命令代表将本地区域0计算所得路由共享给其他区域时进行汇总
4】加快收敛 邻居间hello time 10s,dead time为hello time 的4倍;
ospf要求直连邻居间hello time和dead time一致,否则无法建立邻居关系
修改本地的hello time,本地的dead time自动4倍关系匹配;
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ospf timer hello 5
5】缺省路由 --在连接内网和外网的边界路由器上配置缺省命令后,边界路由器将向内网发布一条缺省路由;使得内部的路由器产生缺省路由指向边界;边界路由器本地指向ISP的缺省需要管理员手工静态编写;
[r4]ospf 1
[r4-ospf-1]default-route-advertise always
【6】沉默接口 -- 连接终端设备的接口在宣告完成后,将周期发送信息,通过沉默来关闭这些信息的发送,不能配置于骨干连接其他邻居设备的接口
[r1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/2
VLAN
VLAN:
网络速率公式:带宽/8)*85%
VLAN:虚拟局域网 交换机和路由器协同工作后,将原来的一个广播域逻辑的切分为多个;
配置思路:
1.交换机上创建vlan
2.交换机上的各个接口划分到对应的vlan中
3.TRunk(中继)干道
4.VLAN间路由---子接口 多层交换机的SVI
配置命令
1.创建vlan vlan的编号0-4095 其中1-4094可用 默认所有交换机存在vlan1;且所有接口处于vlan1;
[sw1]vlan 2 单独创建
[sw2]vlan batch 4 to 10 15 to 20 批量创建
2.交换机上的各个接口划分到对应的vlan中
[sw1]interface Eth0/0/1
[sw1-Ethernet0/0/1]port link-type access 先定义该接口为接入模式
[sw1-Ethernet0/0/1]port default vlan 2 再将其划分到对应的vlan中
批量划分
[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
3.trunk干道
- 不属于任何一个vlan,承载所有vlan的流量转发,可以标记和识别区分不同vlan的信
[sw1]interface Eth0/0/5
[sw1-Ethernet0/0/5]port link-type trunk 先定义为trunk模式
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3 再定义其可以允许通过的vlan,默认仅允许通过vlan1
交换机和路由器也是trunk
4.路由器的子接口
[r1]int g0/0/0.1 创建子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义管理vlan编号
[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24 配置ip地址
[r1-GigabitEthernet0/0/0.1]arp broadcast enable 子接口ARP需要开启
[r1-GigabitEthernet0/0/0.1]q
[r1]interface GigabitEthernet 0/0/0.2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 3
[r1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[r1-GigabitEthernet0/0/0.2]arp broadcast enable
ACL
ACL:访问控制列表
作用:
- 流量转发控制 --- 在路由器流量的入或出接口上匹配流量产生动作(允许或拒绝)
- 定义感兴趣流量 -- 帮助系统策略协议进行流量抓取
关于访问控制功能:
- ACL策略是在路由器流量进或出的接口上匹配流量;故对进出概念必须了解
- 必须了解ACL的匹配规则
匹配规则:
至上而下逐一匹配,上条匹配按上条执行,不再查看下条;
在末尾 思科 隐含拒绝所有 华为 隐含允许所有
分类:
标准 -- 仅关注数据包中的源ip地址
扩展 -- 关注数据包中源、目标ip地址,协议号以及目标端口号
写法:
【1】标准ACL -- 由于标准ACL仅关注数据包中的源ip,故调用时应该尽量靠近目标,避免对流量进行误删;
在一台路由器上可以创建多张编号的表格,一个编号为一张表;在路由器的一个接口的一个方向上只能调用一张表;
[r2]acl 2000 创建ACL表格编号2000; 编号范围2000-2999为标准列表
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255
[r2-acl-basic-2000]rule permit source any
动作 源ip地址
源ip 在定义时可以为所有,也可以使用通配符匹配;通配符与ospf使用的反掩码,唯一区别在于通配符可以0与1穿插出现;
注:ACL编写完成后,必须在接口调用后方可工作
[r2]interface g0/0/1
[r2-GigabitEthernet0/0/1]traffic-filter ? 调用时方向必须明确
inbound Apply ACL to the inbound direction of the interface
outbound Apply ACL to the outbound direction of the interface
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
【2】扩展ACL -- 由于扩展ACL精确匹配流量中的地址,故调用时尽量靠近源,来尽早的处理流量,避免浪费资源
- 仅关注源ip与目标ip地址
[r1]acl 3000 扩展ACL的编号为3000-3999
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
动作 源ip地址 目标ip地址
源或目标ip均可以为any,或使用通配符定义范围
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 接口调用
2.同时关注协议号,或目标端口号
Ping 服务为协议icmp
Telnet 为TCP下目标端口号23;
配置设备的telnet登录,账号为panxi,密码为123456
[r1-aaa]local-user panxi privilege level 15 password cipher 123456
[r1-aaa]local-user panxi service-type telnet
[r1-aaa]q
[r1]user-interface vty 0 4
[r1-ui-vty0-4]authentication-mode aaa
关于同时匹配目标端口号acl配置命令
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0 destination-port eq 23
协议 源ip地址 目标ip 目标端口
该条ACL拒绝了192.168.1.10对192.168.1.1的telnet远程登录服务
[r1-acl-adv-3002]rule deny icmp source 192.168.1.10 0.0.0.0 destination 192.168.1.1 0.0.0.0
拒绝192.168.1.10 对192.168.1.1 的icmp访问--ping
NAT
IPV4地址中存在私有和公有ip地址的区别:
公有:具有全球唯一性,可以在互联网中通讯,需要付费使用
私有:具有本地唯一性,不能在互联网中通讯,无需付费使用
私有ip地址:
10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT:网络地址转换 --边界路由器上进行公、私有ip地址间的互相转换
分类:
一对一 内部的一个私有转换为唯一的一个公有ip地址
一对多 内部的多个私有ip地址转换为同一个公有ip
多对多 内部的多个私有ip地址可以转换为多个公有ip地址
端口映射 基于一个公有ip地址的特定端口进行转换;
所有nat的配置地点均在边界路由器连接公网的外部接口上配置;
[1]一对多:简单的常用转换方式;属于动态性; -- PAT端口地址转换
多个私有地址共用同一个公有地址时,为了实现同时收发数据,在ip地址被转换成同一个公有地址的同时,还需要使用不同的源端口号来进行区分;由于端口号的数量限制,故在内部存在大量流量需要进入互联网时,若超过65535数量时,只能排队等候,导致网络延时,可以启用多对多;
先使用ACL将可以被转换私有ip地址抓取出来
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]q
[r2]int g0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000 配置一对多在边界路由器连接公网的接口上;命令的含义为acl2000列表中关注的私有ip地址,在通过该接口进出时可以被转换该接口上配置的公有ip地址;
2]多对多 当内部存在大量的私有ip地址时,为保障网络的传输效率,需要多个公有ip地址循环提供端口来进行转换
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255 私有地址范围
[r2]nat address-group 1 12.1.1.3 12.1.1.10 公有ip地址范围
再在边界路由器连接公网的外部接口上配置
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1
将acl2001的私有地址在通过该接口进出时,循环转换为地址组1中的各个公有ip的各个端口号;
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 no-pat
若在多对多的命令末尾添加no-pat单词,那么将成为静态nat,最先出来的私有ip将一对一与这些公有ip形成静态的绑定关系,使得后出来的私有ip不能再被转换为公有;
【3】一对一
[r2-GigabitEthernet0/0/2]nat server global 12.1.1.3 inside 192.168.1.10
在边界路由器上连接公网的外部接口上,固定的将内部192.168.1.10与外部12.1.1.3进行绑定
【4】 端口映射 -- 将边界路由器上的公有ip地址的某个特定端口与内部单个ip地址的特定端口进行映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
当外部访问R2 的G0/0/2口上的ip地址,且目标端口为80时,目标ip地址将被转换为192.168.1.10的80端口
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80
外部访问r2的g0/0/2口ip地址,且目标端口为8080时,将目标ip地址修改为192.168.1.20,目标端口修改为80;