HCIP---第三天

路由控制

RIP的路由控制

1、控制RIP的优先级

[rip进程]preference 150 --- 修改RIP默认优先级 --- 仅影响修改的路由器，并且修改全部条目。

2、控制RIP的开销值

前提：因为RIP存在15跳的跳数限制，不能改小，不然就相当于形同虚设，并且可能破坏自身防环机制，所以RIP在进行开销值修改时，不允许将开销值改小，只能改大。

根据流量的流向，可分为出方向修改和入方向修改

--- 出方向修改 --- 影响他人 --- 修改的开销值实际上是传递中开销值的增加量（增加量默认值为1）

[接口视角]rip metricout <数值>

--- 入方向修改 --- 影响自身 --- 修改的开销值将直接加到本地路由表的开销值中。

[接口视角]rip metricin <数值>

通过ACL表，抓取精确流量达到精确控制：

--- 精确控制开销值

1、创建acl表抓取感兴趣流

[acl表视角]rule perit source 4.4.4.0 0

2、在接口视角上修改开销值

[接口视角]rip metricout <acl id> <数值> --- 出方向

[接口视角]rip metricin <acl id> <数值> --- 入方向

路由过滤 --- 属于路由控制的一种

Filter - policy --- 过滤列表

也分为出方向修改（影响他人）和入方向修改（影响自身）

1、ACL列表抓取路由信息

[路由器]acl 2001

[acl视角]rule deny source <ip> --- 因为过滤列表本身没有过滤能力，所以，必须使用ACL列表的过滤功能完成过滤。

[acl视角]rule permit source any --- 因为华为ACL列表默认对未匹配的流量不做处理，所以，需要添加规则处理剩余流量。

2、进入RIP进程中调用过滤列表

[rip视角]filter - policy <acl id> import/export (接口)

RIP的单播邻居

[rip视角]peer <邻居ip> --- 配置时双向的，双方都需要配置

配置单播邻居后，RIP在周期更新时会同时发送单播数据包和组播（广播）数据包。

沉默接口

1、可以使这个接口只收不发RIP数据

2、沉默接口的第一个效果只针对组播和广播包生效。

应用场景

网络类型 --- 根据数据链路层所运行的协议及规则来划分

分类

P2P --- 点到点网络

MA --- 多点接入网络

--- BMA（broadcast） --- 广播型多点接入网络

--- NBMA --- 非广播型多点接入网络

数据链路层协议

以太网协议 --- 以太网在封装数据帧时需要加入源MAC和目标MAC地址。

以太网需要MAC地址寻址的原因：因为以太网所组建的二层网络中可以包含多个（两个或两个以上）接口，每个接口之间都可以通过交互以太网帧的形式实现二层通信。 --- BMA

只能存在两个设备的网络可以不需要MAC地址也能正常通讯。 --- P2P

串线 --- T1 --- 1.544Mbps

      E1 --- 2.048Mbps

以太网 --- 频分 --- 所谓频分，就是在一根铜丝上同时发送不同频段的数据而互不干扰。实现数据的并行发送。

HDLC --- 一种专门应用在串线网络中协议 --- 高级数据链路控制协议

标准HDLC：ISO组织颁布的HDLC（根据SDLC协议改进而来）标准

非标HDLC：各个厂商根据ISO的HDLC协议改进而来

[系统视角]display interface <接口> --- 查看接口的二层特性

串口在物理连线正常连接且二层使用相同的协议，则接口双UP

[接口视角]link-protocol <协议> --- 修改接口二层的协议类型

PPP --- 点到点协议 --- 应用在串线网络中的协议

优点：

1、PPP协议有统一的标准，具有很强的兼容性，并且，任何只要支持全双工模式的串线接口都可以使用PPP协议。

2、PPP协议的可移植型比较强 --- PPPoE

3、PPP协议可以进行认证和授权

PPP协议类似于TCP协议，在数据传输之前，也需要创建PPP会话。

1、链路建立阶段 --- LCP建立

2、认证阶段 --- PPP的认证 --- 可选项

3、网络层协议协商阶段 --- NCP协商

PPP协议存在一系列的附属协议（成员协议）

LCP协议 --- 链路控制协议

NCP协议 --- 网络控制协议 --- NCP是一系列的协议，针对网络层使用的协议不同，会存在对应的NCP协议 --- IPCP --- 网络层使用IP协议时使用的NCP协议。

{PPP帧的格式}

F --- flag --- 01111110 --- 前后导符 --- 如果数据部分出现同样字段，则需要进行转义操作。

A --- Address --- 11111111 --- 固定由8位1填充

C --- control --- 00000011

协议 --- 上层使用的协议类型

FCS --- 帧校验序列 --- 校验数据帧的完整性

1、链路建立阶段 --- LCP建立

主要作用是通过LCP协议来协商链路建立时的一些基本且重要的参数。

MRU --- PPP帧中数据部分允许携带的最大数据长度 --- 字节 --- 1500

确认是否进行认证以及如何进行认证

（MTU --- 最大传输单元）

2、认证阶段 --- 一般PPP认证是通过调用AAA来完成认证的

PPP在进行认证时，可以实现单向认证也可以实现双向认证。

PAP --- 密码认证协议 --- 被认证方将用户名和密码通过明文形式发送给认证方，对方回复ACK则表示认证成功，回复NAK则表示认证失败。

CHAP --- 挑战握手协议 --- 安全性更高，在认证中传递的不是明文信息，而是通过比对摘要值的方式来进行认证。

摘要值 --- 通过HASH算法（散列函数）计算出来的 --- 可以将任意长度的输入转换成固定长度的输出

1、相同输入，相同输出

2、不可逆性

3、雪崩效应

MD5 --- HASH算法的一种，可以将任意长度的输入转换为128位的输出。

3、NCP协商阶段 --- 通过NCP协议来完成对网络层参数的协商 --- 如果网络层使用的是IP协议，则将使用IPCP协议来完成NCP协商

IPCP协议主要协商两个参数 --- 1、IP报文的压缩格式；2、IP地址

IPCP在协商IP地址的过程中，他会学习对方的主机路由。

IPCP在NCP协商中可以

获取IP地址方：

[接口视角]ip address ppp-negotiate

给予方：

[接口视角]remote

CHAP配置方法：

在认证方：

进入aaa模式

[aaa]local-user admin password cipher <密码>

[aaa]local-user admin service-type ppp

[接口视角]ppp authentication-mode chap/pap --- 选择认证

被认证方：

[接口视角]ppp pap local-user admin password cipher 123456

[接口视角]ppp chap user admin

[接口视角]ppp chap password cipher 123456 --- CHAP

PPP的会话是一次性会话

GRE，MGRE

VPN的核心技术 --- 隧道技术 --- GRE就是一种隧道技术

GRE --- 通用路由封装

隧道技术 --- 在隧道的两端通过封装技术及解封装技术在公网上建立一条数据通道，使用这条通道来传输数据 --- 注意，隧道建立之后，两边的私网将变成一个，所以，在一开始分配网段时，要注意避免冲突。

GRE配置：

1、创建隧道接口

[系统视角]interface tunnel 0/0/<0 - 511>

2、给隧道接口配置IP --- 隧道需要配置独立的私网网段

[隧道接口]ip address <IP>

3、定义封装类型

[隧道接口]tunnel-protocol gre

4、定义封装内容

[隧道接口]source 12.0.0.2

[隧道接口]destination 23.0.0.2

GRE --- 实际上搭建的是一个点到点的隧道，其最明显的问题就是拓展性较差，当存在多个私网需要连接时，使用GRE的话需要两两之间建立隧道，最好可以使用类似MA网络的方式进行连接。

NHRP --- 下一跳解析协议

原理：需要在私网中选一个出口物理IP不会变的作为NHS --- 下一跳解析服务器，剩下的分支都知道中心的隧道IP和物理IP，然后，NHRP要求所有分支将自己物理接口的IP地址和隧道IP发给NHS。（如果变化，则重新发送）。这样，NHS就会获得所有分支地址的映射关系，记录在本地。之后，中心需要发消息时，可以直接查看纪录的表进行发送。如果分支之间需要通信，则需要先将数据包发送中心，由中心转发。 --- hub-spoke架构