1.静态路由
1
[r1]display ip routing-table
目的/掩码 协议 优先级(越小越优)开销值 下一跳IP(入接口1.194) 出接口(如何去)
下一跳和接口IP相同,则数据为最后一次转发
[r1]interface brief
目标: 192.168.1.66网段: 192.168.1.0/24网段: 192.168.1.64/2611000000.10101000.00000001.0100001011111111.11111111.11111111.0000000011111111.11111111.11111111.1100000011000000.10101000.00000001.00000000---192.168.1.011000000.10101000.00000001.01000000---192.168.1.64
1.2最长掩码匹配规则
主机路由:掩码为32
协议:直连路由、静态路由、动态路由
设备自动发现、手工配置、路由器通过运行某种算法自行计算出路由
1.3路由直连的生产条件
-
接口双UP
-
必须配置IP地址
1.4路由优先级
路由器优先级越小,则路由项的优先度越高
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
ROP | 100 |
OSPF | 10 |
1.5开销值
在静态路由和直连路由中,开销值为0
1.6 等价路由
目的地相同、优先级(路由发现方式)与开销值均相同,下一跳不同
配置:
(目标 、下一跳)
[r1]ip route-static 192.168.1.192 26 192.168.1.66
(静态) 目标网段 掩码 下一跳
下一跳-----流量流经方向的下一个路由器的入接口IP地址
[r1] display ip routing-table
[r1]ip route-static 192.168.1.192 26 192.168.130
(静态) 目标网段 掩码 下一跳
测试:ping 192.168.130(不通,没有回)
[r1]ip route-static 192.168.1.1 26 192.168.1.129
[r1]ip route-static 192.168.1.1 26 192.168.1.65
测试:ping 192.168.193
2.静态路由协议扩展配置
2.1等价路由---优势:进行宽带的叠加
2.2等价路由的形成条件------来源相同的去往相同目的地的且开销值相同的路由(下一跳不同)
编写等价路由(路由器随机选择一条链路发送数据包):
ip route-static 192.168.1.0 24 12.0.0.2
ip route-static 192.168.1.0 24 21.0.0.2
测试:ping 192.168.1.1(可以通讯)
ping -a(规定数据包内的源IP) 21.0.0.1 192.168.1.1
根据下一跳内容判断该数据包由哪条链路转发
2.3路由汇总
使用CIDR(子网汇总)技术将连续的网段汇总成一个大的网段
汇总要求:母网相同,掩码相同
将子网汇总:172.16.0.0/22(连续子网汇总)
先补上IP地址
R1:interface LoopBack 0 R2:ip route-static 172.16.0.0 22 12.0.0.1
ip address 172.16.0.1 24 测试:ping 172.16.0.1/172.16.1.1/172.16.2.1
interface LoopBack 1
ip address 172.16.1.1 24
interface LoopBack 2
ip address 172.168.2.1 24
q
display ip interface brief
2.4路由黑洞(R1为黑洞路由器)
在手工汇总时可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备和链路资源
2.5省缺路由
目标网段:0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
R2:interface LoopBack 1
ip address 172.31.100.1 24
interface LoopBack 2
ip address 10.10.10.1 24
interface LoopBack 3
ip address 10.1.1.1 16
2.6空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行放环操作
R1:
ip route-static 172.16.0.0 22 NULL 0
2.7浮动静态路由
1.配IP.先通过不同接口,把ip写进去
R1:interface g 0/0/0 R2:interface g 0/0/0
ip address 12.0.0.1 24 ip address 12.0.0.2 24
q q
interface g 0/0/1 interface g 0/0/1
ip address 21.0.0.1 24 ip address 21.0.0.2 24
q q
(路由器上有一个接口可以模拟PC,正常路由器下为一个大的广播域,由交换机连接各个PC)
环回:interface LoopBack 0 -------创建编号为0的环回接口
ip address 192.168.1.1 24
quit
display ip interface brief
信息:Loop Back 0(双UP)
R1:ip route-static 192.168.10.0 24 12.0.0.2
ip route-static 192.168.10.0 24 21.0.0.2 preference 70(修改优先级)
查看:display ip routing-table protocol static
3.动态协议
3.1自治系统-----AS
AS号----ASN----使用16位二进制进行标识----IANA(互联网数字分配机构)
3.2划分规则:
-
AS内部使用的协议----内部网关协议IGP
-
AS之间使用的协议----外部网关协议EGP
3.3动态路由分类
3.31按照范围分
-
IGP
RIP、OSPF、IS-IS、EIGRP(前三者全球公有,后者为思科私有)
-
EGP
BGP
3.32对IGP协议进行分类
(按照协议特点分类)
-
距离矢量型协议-----DV----共享路由表(已知规划路径)
RIP、EIGRP
-
链路状态型协议-----LS-----共享拓扑信息(自己规划路径)
OSPF、ISIS
(按照是否携带掩码分类)
-
有类别路由协议
RIPv1(只有这一个)
-
无类别路由协议
4.RIP-----路由信息协议
4.1基本概念
-
UDP协议-----端口号520
-
目的IP地址
255.255.255.255----RIPv1(广播报文)
224.0.0.9------RIPv2(组播报文)
4.2RIP数据包(共享路由表)
-
请求报文
-
应答报文
路由器接口启动RIP协议,接口发送数据包(请求报文)给R2,R2通过应答报文把路由表信息发送给R1,R1跟本地路由表对比(没有的填充,有的依靠优先级对比)
计算开销值:经过一跳+1
过程图:
-
RIP使用路由的跳数作为开销值Cost,(最大值为16----代表本条路由可不用)
算法:数据包中传递的开销值=本地开销值+1
- 周期更新(用途:保活)/触发更新
4.3RIP算法----贝尔曼福特算法(cost开销值)
-
当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost大,将将数据包中的路由项加载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost小,则丢弃数据包中的路由项。
4.4RIP计时器
-
更新计时器----30S(从启动RIP协议开始)(30s为默认值,可以更改)
每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文。
-
无效计时器----更新计时器×6
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设
置为16,并且会向外通知。
-
垃圾收集计时器-----更新计时器×4,当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
当垃圾收集计时器为0时,路由器会删除掉该路由项。
提问:在某时刻,某路由器的RIP路由表中共有30个路由项,其中cost值小于16的有23个,cost等于16的有7个,此时总共有多少个计时器。
无效+更新+垃圾=1+23+7= 31
4.5RIP周期更新
-
更新原因
基于UDP传输(不可靠)
RIP本身也没有可靠性机制
RIP本身没有保活机制
4.6网络环路
- 依靠开销值
- 触发更新----一旦路由表中有任意路由项发生变化,则激活触发更新。
- 水平分割机制----从此口进,不从此口出。(路由信息)
- 毒性逆转-----将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16。
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度
发送报文的过程(以R1、R2为例)
此时R1缺信息,触发更新给R1公告
此时,网络完成首次收敛,接下来,相互发送报文
若R3的网段192.168.3.0/24挂了,R3触发更新,通告该条路由不可用,R2将该条路由信息开销值置为16,R2触发更新,通告给R1,也将该条路由开销值置为16,等垃圾收集计时器为0,删除该条路由信息
若R3挂了,连续6次没有计时器更新,无效计时器超时,超时的是:192.168.3.0/24,R2下的开销值置为16,向外通告120s为0后,删除路由信息
4.7配置:
RIPV1
先配IP
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
PIPV2--使用
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
4.8RIP扩展配置
-
手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发
出接口配置
-
缺省路由-------这里指的是下发缺省路由。
[r3-rip-1]default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
静默接口--------配置了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置。
-
手工认证----------用于路由器之间的身份核实。需要在双方身上均配置。---RIPv2
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
加速收敛----减少计时器时间
[r1-rip-1]timers rip 10 60 40
全网均需要修改
5.ACL技术---访问控制列表
5.1 对于网络中的流量的一种处理方式(放通、拒绝)
5.2ACL功能
-
访问控制
在设备的流入或流出接口上,匹配流量,然后执行动作
允许--permit
拒绝---deny
-
抓取流量
ACL经常与其他协议共同使用----所有动作均为允许
5.3 ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行;若没有匹配上,则执行默认规则(在华为中,为允许所有)
5.4 ACL分类
-
基本ACL
基于IP报文的源IP地址定义规则
编号:2000-2999
-
高级ACL
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则
编号:3000-3999
-
二层ACL
基于MAC地址来定义规则
编号:4000-4999
-
用户自定义ACL
需求一
-
PC1可以访问192.168.2.0/24网段,而PC2不可以。
-
分析:
仅对源地址有要求,配置基本ACL
基本ACL配置规则----靠近目的进行配置。
在R2上
acl 2000----创建基本ACL列表
rule permit source 192.168.1.253(PC1地址) 0.0.0.0(通配符)-----创建规则
通配符-----32位二进制,0代表不可变,1代表可变
rule deny source 192.168.1.252 0
traffic-filter outbound acl 2000------在0/0/1出接口调用acl2000列表一个接口的一个方向只能调用一张ACL列表,但一张ACL列表可以在多个接口调用
display acl 2000------查看acl列表
例1:
仅允许192.168.1.1通过
rule permit source 192.168.1.1 0.0.0.0
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
11000000.10101000.00000001.00000010
00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP地址通过。
rule deny source 192.168.1.1 0.0.0.254
11000000.10101000.00000001.00000001
00000000.00000000.00000000.11111110
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源
(高级ACL)
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253
0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
在R2上开启telnet
把PC1换成路由器,模拟pc1
PC1上:配IP
配缺省
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest
ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100