第五章:Rip协议
一、动态路由产生背景
1、静态路由手工配置麻烦
2、不适合大规模网络
3、不能随着网络拓扑结构的改变而自动收敛
二 、分类
按照工作区域划分:
内部网关路由协议:RIP协议(路由信息协议)、OSPF协议(开放式的最短路径优先协议)、IS-IS协
议(从中间系统到中间系统)
外部网关路由协议:BGP协议(边界网关协议)
按照算法划分:
基于距离矢量的路由协议:RIP BELLMAN-FORD 周期性(30秒)的发送自己的路由表给相邻的路由
基于链路状态的路由协议:OSPF、IS-IS Dijkstart算法 周期性的发送自己的链路状态信息给邻居
![](https://img-blog.csdnimg.cn/img_convert/de93a5444127c1ac3069bedf340701ec.png)
![](https://img-blog.csdnimg.cn/img_convert/0fbf145633dac13c80b311a2c7b37c38.png)
![](https://img-blog.csdnimg.cn/img_convert/9545960cf007df4b27bd88496f0bfc81.png)
总结:工作过程:
运行RIP路由协议的路由器会周期性的发送自己的路由表给相邻的路由器,数据包每经过一个路由器
COST 值加1
更新规则:
如果路由信息来自同一个路由器,则其他路由器无条件学习
如果路由信息不来自于同一个路由器,则学习cost值小的,值大的不学
四、RIP协议
(1)环路产生
![](https://img-blog.csdnimg.cn/img_convert/a21d7091c9d467169183a067aaf20a3f.png)
![](https://img-blog.csdnimg.cn/img_convert/8f5593c68cf5c37d74b68e295c0612ea.png)
![](https://img-blog.csdnimg.cn/img_convert/ee97a636e83b9a81640c8e58671c383b.png)
环路现象:一个数据包在两路由器间,被来回的传,出不去了。
环路产生原因:运行RIP路由协议的路由周期更新不同步
(2)环路解决方法
水平分割:从一个接口发出的路由信息,拒绝再从此接口传入
路由毒化:从一个接口发出的路由信息,再从此接口传入时被带毒(inf)
最大跳数限制:16跳,超过15跳的就不学习了
触发更新:对于网络拓扑结构的变化,可以不管更新是否到来,能立刻通告给其他路由器
保持失效计时器:180S,对于出现故障的链路,如果该链路能够在180S内恢复,则不向其他路由器通
告该故障,反之通告。
(3)RIP计时器:
更新计时器:30S,每个路由自己独立更新
抑制计时器:180S,防止错误更新带来的更新欺骗
保持失效计时器:180S,
刷新计时器:240S,给出现故障的链路再给一次机会,如果在240内此链路能恢复,则路由器不会再
路由表删除此条路由信息,反之删除
(4)RIP数据包----UDP--520端口
update:更新数据包
request:请求数据包
response:回复自己请求的路由表信息
五、RIP路由协议特点
1、每个路由自己独立的、周期性更新
2、最大跳数限制:16跳,超过15跳的就不学习了
3、RIP数据包----UDP--520端口,不可靠传输
六、rip的版本
RIPV1: 只遵循主类网段划分,不支持可变长的子网掩码,属于有类路由协议, 关闭自动汇总RIPV2: 只遵循主类网段划分,支持可变长的子网掩码,属于五类路由协议 可以关闭自动汇总,能手工汇总网段。
第6章:ospf
一、OSPF协议
OSPF协议(开放式最短路径优先协议),Dijkstart算法(SPF算法),基于链路状态的协议,周期性
发送链路状态信息
1、基础概念
三张表
路由表:提供路由信息
拓扑表(LSDB:链路状态数据库):链路状态信息
通信模式:单工通信:数据只能沿着一个方向发送,例如:收音机听广播
半双工通信:同一时刻,只能有一方收发信息,例如:对讲机
全双工通信:同一时刻,双方同时可以收发信息
邻居表:邻居的基本信息和邻居的状态
2、五种数据包
hello包:周期性建立、维护邻居关系
DBD包:数据库描述报文,LSA(链路状态通告)的摘要信息
LSR包:链路状态请求报文,请求的是自己没有或者比自己更新的链路状态信息
LSU包:链路状态更新报文,将对方需要的链路状态信息进行一个打包,发送给对方
LSAck包:链路状态确认报文,确认对方是否收到自己发送的链路状态更新报文
3、ospf工作过程
(1)确认可达性,建立邻居(hello包)
![](https://img-blog.csdnimg.cn/img_convert/32d2e51fbe13c423acc817007bb28cd4.png)
Router ID:标识了路由器的身份
手工配置:格式:IPV4地址格式
自动选举:
环回口:IP地址最大的优先被选择
物理接口:IP地址最大的优先被选择
建立邻居:通过3次HELLO握手(2)同步摘要,开始建立邻接关系
DR\BDR DRother
选举规则:
先看路由器接口的优先级(0-255) 默认是1
再看Router ID,大的优先,最大的是DR,次优的BDR 剩下的都是DRother
邻接关系:DR与BDR是邻接关系
DR与DRother是邻接关系
BDR与DRother是邻接关系
DRother与DRother不是邻接关系
工作过程:
1、先邻接路由器发送一个DBD报文,通告的是LSA的摘要信息
2、邻接路由器收到后会和自己的LSDB对比,将自己需要的那些链路状态信息整理出来,向对方发送
一个LSR包,请求将摘要中完整的链路状态数据库中的信息发过来
3、对方收到后会做一个回复,发送一个LSU报文
4、邻接路由器收到后会回复一个LSAck报文,告知对方自己已收到
(3)完全邻接关系建好,完整数据库同步
完全邻接关系建立,LSDB表与路由表都形成了
4、ospf状态机
![](https://img-blog.csdnimg.cn/img_convert/ccd3fd456e3522a985a1ea6e83b4d0e5.png)
down:关闭状态,设备正在开启,发送第一个hello包进入下一个状态
Attempt:尝试寻找邻居的状态,收不到对方的hello回包
init:初始化:收到对方hello包时的状态(第二次hello包时)
2-way:双方都同意建立邻居关系,同时进行DR与BDR的选举(2-way前)
ExStart::交换开始状态,发送一个空的DBD报文,不发送LSA的摘要
Exchange:交换状态,向邻接路由器通告的自己的LSA的摘要信息
Loading:读取状态,读取、请求、回复、确认
FULL:稳定状态,完全邻接关系建好,完整数据库同步
二、ospf的多区域
1、区域产生背景
所有的运行OSPF协议的路由器都处在同一个区域,那么他们会产生大量的LSA,放缓网络收敛的速度
区域类型
![](https://img-blog.csdnimg.cn/img_convert/5d119b226dff0f5da1eabb9b68edc8ea.png)
骨干区域:aera 0
非骨干区域:
特殊区域:
多区互连原则:
(1)骨干区域不能被分割
(2)骨干区域只与非骨干区域相连,非骨干区域不能互连
4、路由器角色
![](https://img-blog.csdnimg.cn/img_convert/5e037afff88532a43fe0410f368362eb.png)
IR:区域内部路由器,所有接口都在本区域内
ABR:区域边界路由器,可以连接多个区域
ASBR:自治系统边界路由器,连接其他AS的路由器
组播:
224.0.0.6:DR和BDR的组播接收地址,
224.0.0.5:指网络中所有运行OSPF协议的路由器
224.0.0.9:所有运行ripv2版本的路由器的发送更新报文的地址
三、OSPF实验
基本配置命令:
[R1]ospf ?
INTEGER<1-65535> Process ID
[R1-ospf-1]area 0.0.0.0 配置区域 id
[R4]ospf 1 router-id 4.4.4.4 建立ospf进程 ,配置Router id
[R4-ospf-1-area-0.0.0.1]network 192.168.1.130 反掩码 宣告方式:宣告网段、宣告接口具体的IP地
址,
[R1]dis ospf peer 查看OSPF的邻居表
[R1]int g0/0/0
INTEGER<0-255> Router priority value
[R1-GigabitEthernet0/0/0]ospf dr-priority 0 修改接口优先级 如果优先级为0,则代表放弃竞选
DR、BDR的资格
认证方式:两种:
接口模式:
区域模式:
接口认证模式>区域认证
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456 在接口区域
[R4-ospf-1]default-route-advertise always 下发一条缺省路由
[R3-ospf-1-area-0.0.0.0]abr-summary 192.168.1.0 255.255.255.128 在区域边界路由器上进行区域
汇总,用来通告给另外一个区域
[R3]ip route-static 192.168.1.0 25 NULL 0
第7章:vlan技术
一、VLAN技术产生背景
虚拟局域网
网络按照网络覆盖范围的大小分类:
局域网:一般几千米以内
城域网:一般以一个城市为单位建立起来的通信系统,国家政务平台
广域网:Internet-互联网(计算机网络)
路由器的接口隔离广播域,交换机产生广播域,最严重会导致广播风暴,让交换机卡死,所以vlan出现了
![](https://img-blog.csdnimg.cn/img_convert/d4c1f6e48ed872d2a47a0cae0aba7e3e.png)
二、VLAN作用及特点
VLAN作用:把一个大的广播域划分成 若干个较小的广播域,以此来减少广播风暴的产生
VLAN特点:同一个vlan内的主机是可以依靠二层交换机通信,不同vlan间的通信依靠三层交换机或者路由器
三、VLAN实现过程
(1)同一交换机同一VLAN内的通信
![](https://img-blog.csdnimg.cn/img_convert/460cd84c272c8e623b2f8c7070e00af9.png)
![](https://img-blog.csdnimg.cn/img_convert/0438e5a9a09e67df20baec138b53b35a.png)
数据从PC1出去后,进入交换机会被打上vlan tag(判断收到数据帧的接口所属的vlan id),打上vlan tag后,,原始的数据帧就变成了一个802.1Q帧;
交换机会查看数据帧的目的MAC地址,做个判断
如果目的MAC地址所对应接口的vlan id与标签中的VLAN id是一样的,则说明此数据可以从此接口发送出去;
802.1Q的帧在离开交换机前,会剥离掉vlan Tag,使之还原成最原始的以太网数据帧,发向PC2
(2)跨交换机的同一vlan的通信
![](https://img-blog.csdnimg.cn/img_convert/fa0308fcbb4b50c52072dc2b125bd7a7.png)
数据从PC1出去后,进入交换机会被打上vlan tag(判断收到数据帧的接口所属的vlan id),打上vlan tag后,,原始的数据帧就变成了一个802.1Q帧;
交换机SW1会查看数据帧的目的MAC地址,目的MAC地址所对应接口的vlan id与标签中的VLAN id是一样的,如果一样,则证明该数据要转发,转发出去之前要剥离标签,使之能在trunk链路上传输。
交换机SW2收到后,会检查下数据帧的目的MAC地址,目的MAC地址所对应接口的vlan id,给原始数据帧打上vlan tag ,从对应的接口发出
802.1Q的帧在离开交换机前,会剥离掉vlan Tag,使之还原成最原始的以太网数据帧,发向PC3
四、VLAN划分方式
五种方式:
(1)基于端口的划分:
vlan id的范围:0-4095,其中0和4095是系统保留vlan,1-4094是用户可用的
PVID:默认vlan id (缺省vlan),交换机一般接口默认vlan是vlan 1
优点:划分方式简单,容易实现
缺点:主机移动,需要重新配置vlan与端口的映射关系
(2)基于MAC地址的划分:
建立MAC地址与VLAN 的映射关系
(3)基于IP子网的划分:
建立IP子网地址与VLAN 的映射关系
(4)基于协议簇的划分:
建立协议簇与VLAN 的映射关系
(5)基于策略的划分:
多种方式的组合,需要网络管理员制定策略
五、交换机接口类型
access:一般用来连接PC端、路由器、服务器
trunk:一般用来进行交换机的级联、路由器和防火墙的子接口
hybird:混合模式,一般华为交换机接口类型默认是Hybird,华三交换机默认是access
六、VLAN间通信背景
同一个vlan内的主机是可以依靠二层交换机通信,不同vlan间的通信依靠三层交换机或者路由器
(1)使用路由器物理接口
![](https://img-blog.csdnimg.cn/img_convert/cd9d6a141cc49f7721dd98c9cdb09bde.png)
发送端:目的IP:20.2 源IP:10.2 目的MAC:MACB 源MAC:MACA +vlan 10+数据
接收端:目的IP:20.2 源IP:10.2 目的MAC:MACD 源MAC:MACC +vlan 20+数据
(2)使用路由器子接口
![](https://img-blog.csdnimg.cn/img_convert/e640d4ed1bc4320b413cf6e98d6673ff.png)
发送端:目的IP:20.2 源IP:10.2 目的MAC:MACB 源MAC:MACA +vlan 10+数据
接收端:目的IP:20.2 源IP:10.2 目的MAC:MACD 源MAC:MACB +vlan 20+数据
(3)使用三层交换机的VLANIF接口
![](https://img-blog.csdnimg.cn/img_convert/b64d34640cff0a9f9190fe0dd940e5f2.png)
交换机模块
路由模块:
七、二层接口与三层接口对比
二层交换机不能配置IP地址,三层交换机可以通过vlanif接口配置IP地址,路由器直接配置IP地址
二层交换机能转发数据,三层接口有路由功能
二层交换机不能隔离广播域,三层接口你能隔离广播域
八、VLAN实验
<Huawei>undo terminal monitor 关闭系统调试信息
[Huawei]vlan 10 创建单个vlan
[Huawei]vlan batch 30 to 40 批量创建vlan
[Huawei-GigabitEthernet0/0/3]port link-type access 更改接口的链路类型
[Huawei-GigabitEthernet0/0/3]port default vlan 10 将接口加入到相应的vlan中
[SW-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20 在trunk链路上放通vlan
[R1]int g0/0/0.?
<1-4096> GigabitEthernet interface subinterface number
[R1]int g0/0/0.1 创建子接口
[R1-GigabitEthernet0/0/0.1]
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10 封装成802.1q帧
[R1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播,寻找MAC地址
第8章:ACL实验
一、ACL功能
ACL技术-----访问控制列表,数据流的筛选和匹配
二、ACL分类
基本ACL:2000-2999 只关心数据的来源(源地址)------容易误伤其他网段
高级ACL:3000-3999 (源IP、目的IP、源端口、目的端口、协议)---数据五元组-----精确筛选和匹
配
二层ACL:4000-4999 二层数据帧的头部信息(目的MAC、源MAC、协议类型
用户自定义的ACL:使用报文的头部协议、字符串、子网掩码 5000-5999
三、ACL组成
组成:由若干条permit或deny的语句组成,每一条语句就是一个规则
语句形式 : rule 1 deny source 192.168.1.10 0.0.0.0
规则ID:自动生成,编号从5开始,每条语句之间间隔5个数字,5的倍数
手工指定:0、1、2、3……
通配符:0是匹配位,严格匹配 ,1是随意匹配
练习1:除了拒绝192.168.1.1外,允许192.168.1.0网段中的其他IP地址通过
rule deny 192.168.1.1 0.0.0.0
rule permit 192.168.1.0 0.0.0.255
练习2:
rule permit 192.168.2.0 0.0.0.255
rule deny 192.168.2.1 0.0.0.0
高级ACL的规则:
rule permit tcp source 192.168.1.11 0.0.0.0 destination 100.1.1.1 0.0.0.0 destination-port 23
四、匹配机制
包过滤方向:
出方向:数据流出的方向
入方向:数据流入的方向
匹配机制:
数据包到达接口先检查是否应用ACL规则
按照ACL的规则编号从小到大,依次匹配
所有规则都不匹配,则会检查接口的默认动作,默认允许则数据可以通过,如果拒绝则丢弃