静态路由
Destination/Mask:目的地
NextHop:下一目的地
Interface:
路由的获取方式:
proto
计算优先级 开销值
pre cost
最长掩码匹配规则
掩码32路由被称为主机路由
-
直接路由,静态路由,动态路由
-
设备自动发现,手工配置,路由器通过运行某种算法自行计算路由
直接路由的生成条件
-
接口双UP
-
必须配置IP地址
路由优先级
路由项的优先级越小,则路由项的优先度越高
在静态路由和直连路由中,开销值为0,优先值为60
等价路由:目的地相同,且优先级(路由发现方式)与开销值均相同,且吓一跳不同
吓一跳:流量流经的方向的下一个路由器的入接口IP地址
静态路由协议扩展配置
等价路由:优势:1)负载 (备份)2)叠加带宽(最大优势)(手动叠加)
形成条件:来源相同的去往相同目的地的且开销值相同的路由(下一跳不同)
路由汇总(是一种形式):使用CIDR(子网汇总)技术(需要连续子网域)将连续的网段汇总成一个大的网段
汇总要求:母网相同,掩码相同
路由黑洞:(数据有去无回)在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源
潜规则要求:尽量合理划分
缺省路由: (方向统一)
缺省路由的目标网段----0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
空接口放环:在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
[r1]ip route-static 172.16.0.0 22 NULL 0
null 0:空接口(垃圾场)
浮动静态路由:
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70 -----修改优先级
[r2]interface LoopBack 0 ----创建编号为0的环回接口
[r2-LoopBack0]ip address 192.168.1.1 24
[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
动态协议
自治系统----AS
AS号----ASN----使用16位二进制进行标识----IANA(互联网数字分配机构)
AS内部使用的协议----内部网关协议IGP
AS之间使用的协议----外部网关协议EGP
动态路由分类
按照范围分
IGP :RIP、OSPF(贯穿整个网络)、IS-IS、EIGRP
EGP :BGP
对IGP协议进行分类 :
按照协议特点分类:
距离矢量型协议-----DV----共享路由表:RIP、EIGRP
链路状态型协议-----LS-----共享拓扑信息: OSPF、ISIS
按照是否携带掩码分类 :
有类别路由协议: RIPv1
无类别路由协议
RIP------路由信息协议
基本概念
UDP协议-----端口号520
目的IP地址
255.255.255.255----RIPv1
224.0.0.9------RIPv2
RIP使用路由的跳数作为开销值Cost,最大值为16----代表本条路由可不用。
算法:数据包中传递的开销值=本地开销值+1
周期更新(保活)/触发更新
RIP算法------贝尔曼福特算法
1)当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
2)当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加 载到本地路由表。
3)当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由 表中的cost大,将将数据包中的路由项加载到本地路由表。
4)当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由 表中的cost小,则丢弃数据包中的路由项。
RIP数据包
1)请求报文
2)应答报文
RIP计时器
1)更新计时器----30S
每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文。
2)无效计时器----更新计时器*6
每台路由器的路由表中的每一个RIP路由项都会有一个无效计时器
当该计时器为0时,会认为该计时器所表述的路由项无效。路由器会将该路由项的cost设置为 16。并且会向外通知。
3) 垃圾收集计时器-----更新计时器*4
当一个路由项的无效计时器为0时,垃圾收集计时器开始计时。
当垃圾收集计时器为0时,路由器会删除掉该路由项。
提问:在某时刻,某路由器的RIP路由表中共有30个路由项,其中cost(花销)值小于16的有23个,cost等于16 的有7个,此时总共有多少个计时器。
RIP周期更新
更新原因:
1)基于UDP传输
2) RIP本身也没有可靠性机制
3) RIP本身没有保活机制
网络环路
1)依靠开销值
2) 触发更新----一旦路由表中有任意路由项发生变化,则激活触发更新。
3) 水平分割机制----从此口进,不从此口出。
4) 毒性逆转-----将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16。
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度
RIPV1配置
[r1]rip r1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类
意义:
激活接口
发布路由
RIPV2-----使用
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义 [r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类
意义:
激活接口
发布路由
RIP扩展配置
1)手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发 出接口配置
2)缺省路由------这里指下发缺省路由
[r3-rip-1]default-route originate
缺省路由的下发,一定是在边界路由上做。
且该配置仅会让其他RIP设备学习到RIP的缺省路由
3)静默接口------配置了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般用于与用户相连的接口配置
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
4)手工认证(是一个接口概念)-----用于路由器之间的身份核实,需要在双方身上均配置-----RIPV2
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
5)加速收敛------减少计时器时间
[r1-rip-1]timers rip 10 60 40
全网均需要修改
ACL技术-----访问控制列表
对于网络中的流量中的处理方式(放通,拒绝)
ACL功能:
1)访问控制
在设备的流入或流出接口上,匹配流量,然后执行设定动作
允许:permit
拒绝:deny
2)抓取流量
ACL经常与其他协议共同使用,所有动作均允许
ACL的匹配规则
自上而下,逐一匹配,若匹配成功则按照相应执行,不再向下匹配,若没匹配上,则执行,默认规则(在华为中为允许所有)
ACL分类
1)基本ACL
基于IP报文的源地址定义规则
编号:2000-2999
2)高级ACL
基于源目IP,IP报文协议字段,IP报文优先级,IP报文长度,TCP源目端口号,UDP源目端口等信息来定义规则
编号:3000-3999
3)二层ALC
基于MAC地址来定义规则
编号:4000-4999
4)用户自定义ACL
需求一
PC1可以访问192.168.2.0/24网段,而PC2不可以。
分析:
仅对源地址有要求,配置基本ACL
ACL基本规则:靠近目的进行配置
配置:
[r2]acl 2000 创建基本ACL列表
[r2-acl-basic-2000]rule peimit soure 192.168.1.253 0.0.0.0 创建规则
通配符:32位2进制,0代表不可变,1代表可变
[]trafic-filter outbound acl 2000 在0/0/1接口的方向调用acl2000
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
[r2]display acl 2000 查看ACL列表
需求二
要求PC1可以访问PC3,但是不能访问PC4
分析:
对目标有要求,使用高级ACL;更靠近源
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:
PC1可以ping通R2,但是不能telnet R2
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100