HCIA--RS / Datacon
后面跟的这个RS这两个字母实际上是属于技术方向,叫做路由与交换,其实就是组成网络的路由器和交换机这两个设备,这也是一个学习方向,这个路由交换方向实际上是从思科认证网络工程师那里学来的,因为这个路由交换是计算机行业或者说是网络行业,最常见的一个工作内容就是指工作中,主要是跟路由器和交换机这两个设备打交道比较多的一个岗位。
静态路由
最长掩码匹配规则
[r1]display ip routing-table ----查看全局路由表
目标:192.168.1.66
网段:192.168.1.0/24
网段:192.168.1.64/26
11000000.10101000.00000001.01000010
11111111.11111111.11111111.00000000
11111111.11111111.11111111.11000000
11000000.10101000.00000001.00000000---192.168.1.0
11000000.10101000.00000001.01000000---192.168.1.64
最长掩码匹配规则
因为缺省路由代表所有网段,所以会跟任何路由流量进行匹配,但是又由于最长掩码匹配规则,所以只有当路由表中没有其他路由项匹配流量时,才会选择缺省路由。
1、卸载ensp及三个配置插件
2、清理注册表--->清理残留虚拟网卡
3、开启系统虚拟化
4、重新安装--->检查虚拟网卡IP地址192.168.56.1/24
路由信息的来源
-
直连路由,静态路由,动态路由
-
设备自动发现、手工配置、路由器通过运行某种算法自行计算出路由
路由表的三种来源 直连路由:直连接口所在网段的路由
静态路由:由网络管理员手工配置的路由条目
动态路由:路由器通过动态路由协议学习到的路由
(一)直连路由的生成条件
-
接口双UP
-
必须配置IP地址
直连网段:直接通过线路连接在路由器上生成的网段
直连路由:目标网段为直连网段的路由条目
(二)路由优先级
路由项的优先级越小,则路由项的优先度越高。
AD值(priority 优先级 ):管理距离 0-255 , 数值越小,可信度越高。越小越优,不同的路由方式生成的路由条目默认优先级值不同。
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
RIP | 100 |
OSPF | 10 |
(三)开销值
在静态路由和直连路由中,开销值为0。
等价路由-----目的地相同,且优先级(路由发现方式)与开销值均相同,且下一跳不同。
[r1]ip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳
下一跳-----流量流经的方向的下一个路由器的入接口IP地址。
metric值(cost值 开销值):度量值,不同路由方式计算metric值的方式是不一样的,越小越优。
当出现到达同一个目的网段的路由通过多种不同的途径学习到的情况时,路由器会比较路由的优先级,选择优先级值最小的路由。而当路由器从多个不同的下一跳,通过同种路由协议获知到达同一个目的网段的路由时,它则会进行度量值的比较。
静态路由协议扩展配置
(一)等价路由
----进行带宽的叠加
等价路由的形成条件----来源相同的去往相同目的地的且开销值相同的路由(下一跳不同。)
(二)路由汇总
使用CIDR技术将连续的网段汇总成一个大的网段。
汇总要求:母网相同,掩码相同
(三)路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源。
(四)缺省路由
缺省路由的目标网段----0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
(五)空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
[r1]ip route-static 172.16.0.0 22 NULL 0
(六)浮动静态路由
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
[r2]interface LoopBack 0 ----创建编号为0的环回接口
[r2-LoopBack0]ip address 192.168.1.1 24
[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
动态路由
OSPF协议
OSPF协议是有IETF组织开发的开放性标准协议,它是一个链路状态内部网关路由协议。
运行OSPF协议的路由器会将自己拥有的链路状态信息,通过启用OSPF协议的接口发送给其它OSPF协议设备。
同一个OSPF协议区域中的每台设备都会参与链路状态信息的创建、发送、接收与转发,直至这个区域中的所有OSPF协议设备都获得了相同的链路状态信息为止。
动态协议
(一)自治系统-----AS
AS号-----ASN----使用16位二进制进行标识---IANA(互联网数字分配机制)
-
AS内部使用的协议----内部网关协议IGP
-
AS之间使用的协议----外部网关协议EGP
(二)动态路由分类
按照范围分
-
IGP
-
RIP、OSPF、IS-IS、EIGRP
-
EGP
-
BGP
IGP协议进行分类
-
按照协议特点分类
-
距离矢量型协议-----DV---共享路由表
-
RIP、EOGRP
-
-
链路状态型协议-----LS----共享拓扑信息
-
OSPE、ISIS
-
-
-
按照是否携带掩码分类
-
有类别路由协议
-
RIP v1
-
-
无类别路由协议
-
RIP----路由信息协议
(一)基本概念
-
UDP协议----端口号520
-
目的IP地址
-
255.255.255.255---RIPv1
-
224.0.0.9----RIPv1
-
-
RIP使用路由发跳数作为开销值Cost,最大值为16---代表本条路由不可用。
-
算法:数据包中传递的开销值=本地开销值+1
-
-
周期更新(保活)/触发更新
(二)RTP算法----贝尔曼福特算法
-
当接收到数据包中含有本地路由表中没有路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加
载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由
表中的cost大,将将数据包中的路由项加载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较Cost值,若本地路由表
(三)RIP数据包
-
请求报文
-
应答报文
(三)RIP计时器
-
更新计时器----30s
-
每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文。
-
-
无效计时器---更新计时器*6
-
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
-
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的Cost设置为16。并且会向外通知。
-
-
垃圾收集计时器----更新计时器*4
-
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
-
当垃圾收集计时器为0时,路由器会删除掉该路由项。
-
(四)RIP周期更新
-
更新原因
-
基于UDP传输
-
RIP本身也没有可靠性机制
-
RIP本身没有保活机制
-
(五)网络环路
-
依靠开销值
-
触发更新--除了可以避免大部分环路,实际主要的作用时加快网络收敛速度。
-
水平分割机制----从此口进,不从此口出。、
-
毒性逆转----将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16.
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度。
1、RIPv1配置
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
2、RIPv2配置
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
(六)RIP扩展配置
-
手工汇总
-
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发
出接口配置
-
-
缺省路由---这里指的是下发缺省路由。
-
[r3-rip-1]default-route originate
-
缺省路由的下发,一定是在边界路由上做。
-
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
-
静默接口---配置了静默接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置
-
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
-
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
-
-
手工认证----用于路由器之间的身份核实需要在双方身上均配置。---RIPv2
-
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
-
加速收敛----减少计时器时间
-
[r1-rip-1]timers rip 10 60 40
-
全网均需要修改。
-
ACL技术----访问控制列表
对于网络中的流量的一种处理方式。(放通,拒绝)。
ACL功能
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许---permit
-
拒绝----deny
-
-
抓取流量
-
ACL经常与其他协议共同使用。---所有动作均为允许。
-
ACL的匹配规则
自上而下,逐一匹配,若匹配成功则按照相应规则执行,不在向下匹配;若没有匹配上,则执行默认规则(在华为中,为允许所有)
ACL分类
-
基本ACL
-
基于IP,IP报文协议字段,IP保温优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则。
-
编号:3000-3999
-
-
二层ACl
-
基于MAC地址来定义规则
-
编号:4000-4999
-
-
用户自定义ACL
示例
需求一
-
PC1可以访问192.168.2.0/24网段,而PC2不可以
-
分析:
-
仅对源地址有要求,配置基本ACL
-
基本ACL配置规则-----靠近目的进行配置。
-
-
配置
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
---在0/0/1接口的出方向调用acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
例1:
仅允许192.168.1.1通过
rule permit source 192.168.1.1 0.0.0.0
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
11000000.10101000.00000001.00000010
00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP地址通过。
rule deny source 192.168.1.1 0.0.0.254
11000000.10101000.00000001.00000001
00000000.00000000.00000000.11111110
[r2]display acl 2000 ---查看ACL列表
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253
0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest
ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100