常见命令
system-view ---从用户视图切换到系统视图
undo ----删除
quit ----退出到上一视图
display ----查看
reboot ---重启设备
[Huawei]sysname r1 ----修改系统名称为r1
telnet
PC端----使用路由表代表PC端,需要配置IP地址等信息
[PC]interface GigabitEthernet 0/0/0 ---进入接口
[PC-GigabitEthernet0/0/0]ip address 192.168.1.1 24 ----添加接口IP地址及掩码信息 服务端
[Telnet Server]interface GigabitEthernet 0/0/0
[Telnet Server-GigabitEthernet0/0/0]ip address 192.168.1.2 255.255.255.0 ----添加接口IP及掩 码的第二种方式
[Telnet Server-GigabitEthernet0/0/0]quit ---退出到上一视图
[Telnet Server]telnet server enable ----已经默认开启,不需要配置该命令
[Telnet Server]user-interface vty 0 4 -----开启用户接口空间
[Telnet Server-ui-vty0-4]authentication-mode aaa ---设定使用AAA作为用户接口的认证模式, 即登录方式
[Telnet Server-ui-vty0-4]quit——退出
[Telnet Server]aaa ----进入AAA视图
[Telnet Server-aaa]local-user huawei password cipher 123456 -----创建用户名和密码
[Telnet Server-aaa]local-user huawei privilege level 15 ---设定用户权限等级
[Telnet Server-aaa]local-user huawei service-type telnet ----设定huawei用户登录设备所使用 的协议
[Telnet Server-aaa]display this ---查看当前视图的配置
DHCP
DHCP作用:可以提供IP地址,网关及DNS服务器信息
使用的是UDP的67和68号端口进行通信
典型的C/S架构
DHCP客户端--需要获取IP地址的设备--68端口
DHCP服务器--提供IP地址的设备--67端口
第一种场景:pc首次获取IP地址
1.DHCP客户端发包给DHCP服务器,以广播的形式(因为不知道谁是服务器)这个包叫DHCP--
2.DHCP服务器给DHCP客户端回一个数据包,这个包叫做DHCP-OFFER包(置1为广播,置0为单播)offer包中会携带一个有效的IP地址,并且暂时为DHCP客户端保留(因为整个广播域内,可能不知有一台服务器,所以客户端在请求时,可能会有多个服务器回DHCP-offer,客户端只能选择一个)--选择第一个到达的OFFER
3.DHCP客户端给DHCP服务器发送一个请求包,这个包叫做DHCP-request(广播)--请求第一个到达的offer
广播的目的:
1.告诉给我IP的这台服务器,选择它的ip地址
2.告诉其他的服务器,我已经选择别人的服务器了
4.DHCP服务器给DHCP客户端发送一个确认包,这个包叫做DHCP-ACK,至此,pc端获取了ip地址
DHCP-Release --DHCP客户端主动释放IP地址
租期:24H
T1:租期的50%,12H---此时DCHP客户端给DHCP服务器发一个确认包,这个包叫DHCP-request(单播),如果回复ACK,租期刷新,如果没有服务器没有回复ACK
时间逐步来到T2
T2:租期的87.5% 21H---此时DCHP客户端给DHCP服务器发一个确认包,这个包叫DHCP-request(广播)
当租期到了,没有IP了就要重新重复第一种场景
DHCP服务器配置
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.100 24
[DHCP Server]dhcp enable ----启动DHCP协议
[DHCP Server]ip pool aa ----创建名称为aa的地址池
[DHCP Server-ip-pool-aa]network 192.168.1.0 mask 24 ----配置可分配IP地址范围
[DHCP Server-ip-pool-aa]gateway-list 192.168.1.100 ----配置网关信息
[DHCP Server-ip-pool-aa]dns-list 8.8.8.8 ----配置dns信息
[DHCP Server-ip-pool-aa]quit [DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global -----在接口调用全局地址池
[DHCP Server-GigabitEthernet0/0/0]quit
[DHCP Server]display ip interface brief ---查看IP与接口的对应关系
[DHCP Server]display ip pool ----查看地址池内容
静态路由
最长掩码匹配规则
因为缺省路由代表所有网段,所以会跟任何路由流量进行匹配,但是又由于最长掩码匹配规则,所以只有当路由表中没有其他路由项匹配流量时,才会选择缺省路由。
[r1]display ip routing-table ----查看全局路由表
目标:192.168.1.66
网段:192.168.1.0/24
网段:192.168.1.64/26
11000000.10101000.00000001.01000010
11111111.11111111.11111111.00000000
11111111.11111111.11111111.11000000
11000000.10101000.00000001.00000000---192.168.1.0
11000000.10101000.00000001.01000000---192.168.1.64
路由信息的来源
-
直连路由,静态路由,动态路由
-
设备自动发现、手工配置、路由器通过运行某种算法自行计算出路由
路由表的三种来源 直连路由:直连接口所在网段的路由
静态路由:由网络管理员手工配置的路由条目
动态路由:路由器通过动态路由协议学习到的路由
(一)直连路由的生成条件
-
接口双UP
-
必须配置IP地址
直连网段:直接通过线路连接在路由器上生成的网段
直连路由:目标网段为直连网段的路由条目
二)路由优先级
路由项的优先级越小,则路由项的优先度越高。
AD值(priority 优先级 ):管理距离 0-255 , 数值越小,可信度越高。越小越优,不同的路由方式生成的路由条目默认优先级值不同。
路由来源 | 优先级缺省值 |
---|---|
直连路由 | 0 |
静态路由 | 60 |
RIP | 100 |
OSPF | 10 |
(三)开销值
在静态路由和直连路由中,开销值为0。
等价路由-----目的地相同,且优先级(路由发现方式)与开销值均相同,且下一跳不同。
[r1]ip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳
下一跳-----流量流经的方向的下一个路由器的入接口IP地址。
metric值(cost值 开销值):度量值,不同路由方式计算metric值的方式是不一样的,越小越优。
当出现到达同一个目的网段的路由通过多种不同的途径学习到的情况时,路由器会比较路由的优先级,选择优先级值最小的路由。而当路由器从多个不同的下一跳,通过同种路由协议获知到达同一个目的网段的路由时,它则会进行度量值的比较。
静态路由实验链接:
静态路由协议扩展配置
(一)等价路由
----进行带宽的叠加
等价路由的形成条件----来源相同的去往相同目的地的且开销值相同的路由(下一跳不同。)
(二)路由汇总
使用CIDR技术将连续的网段汇总成一个大的网段。
汇总要求:母网相同,掩码相同
(三)路由黑洞
在手工汇总时,可能会包含一些网络中不存在的网段,造成流量有去无回的现象,浪费设备与链路资源。
(四)缺省路由
缺省路由的目标网段----0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
(五)空接口放环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
[r1]ip route-static 172.16.0.0 22 NULL 0
(六)浮动静态路由
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
[r2]interface LoopBack 0 ----创建编号为0的环回接口
[r2-LoopBack0]ip address 192.168.1.1 24
[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
动态路由
动态路由出现的原因
动态路由和静态路由是一个相对的概念。随着网路环境复杂,静态路由配置量上升。静态路由没办法随着网络结构变化从而自己完成收敛。
动态路由优缺点
缺点
1.由于动态路由的工作原理是路由器根据路由算法把收集到的路由信息加工成路由表,供路由器在转发IP报文时查阅。所以在进行算法运行时会占用CPU、内存、链路带宽等资源。
2.没有静态路由安全,因为动态路由是有固定算法,如果有一台设备的数据被截获的话,其他设备的数据就可能泄露。
3.可控性没有静态路由好,可能算法算出来的路径护士自己想要的路径。
4.某些路由可能在配置的路由里出现环路。
优点
1.通常不受网络规模的限制。
2.可以根据网络的变化自行完成收敛。
3.复杂网络环境下配置量小。
动态路由的种类
整个互联网不是只靠一种动态路由来完成路由的计算,如果都用一种动态路由协议的话,某一个网段的增加或着缺失,都需要告诉其他设备,然后设备很多,其他的网络设备知道这个事情是不是很慢,再然后如果网络很大有好多台路由器,经过一个TTL值,数据包就被丢弃了。网络肯定就会出现问题。所以在整个互联网环境下,互联网就被划分成了一个个AS(自治系统)(AS之间有不同的AS号去区别标识)。每一个自治系统有某一个运营商去管理。然后每一个AS之间也要去通讯,这时候又会出现AS内部网关协议(内部)和AS外部网关协议(AS之间的协议),先学内部网关协议。
动态路由分类
按照范围分
1、IGP
RIP OSPF IS-IS EIGRP
2、EGP
BGP
对IGP协议进行分类
按照协议特点分类
距离矢量型协议----DV-----共享路由表
RIP、EIGRP
链路状态型-------LS-------共享拓扑信息
OSPF、ISIS
按照是否携带掩码分类
有类别路由协议
RIPV1
无类别路由协议
RIP----路由信息协议
基本概念
UDP协议-----端口号520 目的IP地址 255.255.255.255----RIPv1 224.0.0.9------RIPv2 RIP使用路由的跳数作为开销值Cost,最大值为16----代表本条路由可不用。 算法:数据包中传递的开销值=本地开销值+1 周期更新(保活)/触发更新
所共享的路由表内容
只共享目标网段(就是要去的目的网段)和开销两个内容,其他内容都可以补全,优先级是默认的,下一跳是那个路由共享过来的就写那个IP,出接口就是从那个接口收到消息就是那个接口。
开销(不同协议代表的意义不同,动态路由选路的重要依据)
开销越小越好,RIP共享的是跳数(经过路由器的数量)
不同的协议选择不同的路径看优先级比如静态的优先级是60,RIP在华为体系下的优先级是100。
RIP算法----贝尔曼福特算法
1. 对于一个路由器R2而言,如果我收到一条我本地路由表没有的路由信息则直接将该路由信息刷新到自己本地路由表中。
2. 对于一个路由器R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源一致则刷新该路由信息到自己的本地路由表中。
3. 对于一个路由器R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值小,则不刷新。
4. 对于一个路由器R2而言,如果我收到一条我本地路由表已经有的路由信息,如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值大,则刷新。
(RIP的邻居与路由直接相连的路由,路由传递信息是一个一个路由传递的)
RIP数据包
请求报文
应答报文
工作过程
初始化
RIP向所有运行RIP协议的接口发送请求包,请求邻居路由表。
接受阶段
RIP的邻居收到请求包后,会通过广播或者组播将自身的路由信息打包成应答报文包回复过去。
判断阶段
根据贝尔曼福特算法找自己要的信息
RIP计时器
周期更新(30秒)
——每台路由器只有一个计时器,该计时器为0则路由器向外发送更新报文。
失效判断计时器(180秒)
没有保活机制,万一发送消息机子坏了,另一台接受机子不知道这台机子坏了,发送的机子就没有
办法知道这个网段能不能到。
如果180秒都没有收到对端发送的信息就认为对方没有收到
垃圾回收计时器(120秒)
从路由表删除信息后,将信息保存到缓冲表,保存时间120秒
RIP更新
原因
(1)网络拓扑变化:
网络中的路由器或链路发生变化时,RIP周期更新可以及时更新路由信息表和距离向量。这有助于确保路由表中的路由信息具有最新的拓扑结构,并且可以更快地响应网络变化,提高网络的可靠性和稳定性。
(2)更新路由信息:
在网络中使用RIP时,路由器会定期发送RIP数据包以更新邻居路由器的路由信息表和距离向量。这有助于提高网络的反应速度和稳定性,并且可以确保路由信息具有一致性和准确性
(保活机制:每隔一段时间发送包,确保自己还活着)
(3)提高性能:
RIP周期更新可以通过调整数据包发送频率来平衡路由器的性能和网络带宽的利用率,使网络维持最佳状态。此外,通过调整周期更新时间和MTU大小等参数,可以进一步提高路由器和网络的性能。
(4)避免网络拥塞:
网络拥塞可能会导致丢包和延迟,从而影响网络的性能和可靠性。使用RIP周期更新可以限制网络拥塞的发生,并提供优化路由信息的方法。
RIP的破坏机制
(1)触发更新:
一旦拓扑结构发生变化,立即将变化信息发送出去。
(2)水平分割:
从哪个接口学来的路由就不再从哪个接口发出去。
(3)毒性逆转:
从哪个接口学来的路由还从哪个接口发,但是,必须带毒。
水平分割和毒性逆转只能二选其一,华为设备默认开启的是水平分割。华为设备如果毒性逆转和水平分割同时开启,则将按照毒性逆转的规则执行。
RIP配置
1.配置环回及IP
R1
<Huawei>sys
[Huawei]sysname r1
[r1]interface LoopBack 0
[r1-LoopBack0]ip address 192.168.1.0 24
[r1-LoopBack0]interface g0/0/0
[r1-GigabitEthernet0/0/0]ip address 12.0.0.1 24
[r1-GigabitEthernet0/0/0]quit
R2
<Huawei>sys
[Huawei]sysname r2
[r2]interface LoopBack 0
[r2-LoopBack0]ip address 192.168.2.1 24
[r2-LoopBack0]interface g0/0/0
[r2-GigabitEthernet0/0/0]ip address 12.0.0.2 24
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]ip address 23.0.0.1 24
[r2-GigabitEthernet0/0/1]quit
R3
<Huawei>sys
[Huawei]sysname r3
[r3]interface LoopBack 0
[r3-LoopBack0]ip address 192.168.3.0 24
[r3-LoopBack0]quit
[r3-GigabitEthernet0/0/0]ip address 23.0.0.2 24
[r3-GigabitEthernet0/0/0]quit
2.启动rip
[r1]rip 1----启动RIP协议,进程号为1,仅具有本地意义
3.选择版本号
[r1-rip-1]version 2
4、宣告
宣告的要求:
①.必须宣告所有直连网段
②.只能按照主类宣告
宣告的目的:
①激活接口,只有激活的接口才能收发RIP的数据。
②.发布路由,只有激活的接口对应的路由信息才能通过RIP发送。
R1配置代码:
[r1]rip 1
[r1-rip-1]version 2
[r1-rip-1]network 192.168.1.0
[r1-rip-1]network 12.0.0.0
[r1-rip-1]quit
R2配置代码:
[r2]rip 1
[r2-rip-1]version 2
[r2-rip-1]network 192.168.2.0
[r2-rip-1]network 12.0.0.0
[r2-rip-1]network 23.0.0.0
[r2-rip-1]quit
R3配置代码:
[r3]rip 1
[r3-rip-1]version 2
[r3-rip-1]network 192.168.3.0
[r3-rip-1]network 23.0.0.0
[r3-rip-1]quit
RIP的拓展配置
手工汇总
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456
md5指的是加密格式;
usual是标准,配置手工认证时需要确保双方使用的标准是一样的;
plain指的是本地存储是以密文还是明文存储
缺省路由
[r3-rip-1]default-route originate
在边界路由器上执行,将使其他网络内的设备自动生成一条指向边界设备的缺省。
另一种方法——可以直接在边界路由器连接内网的接口上执行汇总
操作,汇总路由为0.0.0.0 0.0.0.0。这样就相当于下发了缺省信
息,但是,边界路由器本身直连网段也需要通过缺省到达。
沉默接口
作用:只能接受RIP的数据,不能发送RIP数据, 适用于用户端。
ACL技术---访问控制列表
对于网络中的流量的一种处理方式,(放通、拒绝)。
ACL功能
访问控制
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
允许---permit
拒绝---deny
抓取流量
ACL经常与其他协议共同使用。---所有动作均为允许。
ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认 规则(在华为中,为允许所有)。
配置示例
需求一
PC1可以访问192.168.2.0/24网段,而PC2不可以。
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则 通配符----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用 acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
permit ip source——允许IP通过
deny ip source——拒绝ip通过