一、实验拓扑
二、实验要求
- R3环回为3.3.3.0/24
- 其他基于192.168.1.0/24 进行划分
- R1,R2均存在两个环回
- 整个网络运行RIPV2,但是不能直接宣告R3的环回,R3的环回代表互联网网段
- 全网可达,保障更新安全,减少路由条目数量,避免环路
三、实验思路
1. 地址规划,配置底层IP
2. 实现全网可达,通过RIPV2协议
3. 路由优化–RIP的安全认证,汇总,防环
四、实验步骤
1. 地址规划,配置底层IP
地址规划,192.168.1.0/24
根据是实验要求,进行子网划分,需要两个客户网段,一个客户网段包含两条环回网段,所有骨干看成一个骨干网段
那么将192.168.1.0/24划分出4个子网,利用其中的3个
192.168.1.0/24
192.168.1.0/26 骨干
192.168.1.0/30
192.168.1.4/30
192.168.1.64/26 R1
192.168.1.64/27
192.168.1.96/27
192.168.1.128/26 R2
192.168.1.128/27
192.168.1.160/27
配置底层IP
R1:
[r1]interface LoopBack 0
[r1-LoopBack0]ip add 192.168.1.65 27
[r1-LoopBack1]ip address 192.168.1.97 27
[r1-LoopBack1]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.1.1 30
R2:
[r1]interface LoopBack 0
[r1-LoopBack0]ip add 192.168.1.65 27
[r1-LoopBack0]int lo1
[r1-LoopBack1]ip address 192.168.1.97 27
[r1-LoopBack1]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.1.1 30
R3:
[r3]int lo0
[r3-LoopBack0]ip address 3.3.3.3 24
[r3-LoopBack0]q
[r3]int g0/0/0
[r3-GigabitEthernet0/0/0]ip address 192.168.1.6 30
2. 实现全网可达,通过RIPV2协议
R1:
[r1]rip ? #不写进程号默认1,具有本地意义
INTEGER<1-65535> Process ID 进程号
[r1-rip-1]version 2 #选择版本2
[r1-rip-1]un summary #关闭自动汇总
[r1-rip-1]network 192.168.1.0 #宣告网段,只能进行主类宣告
#注:RIPV2协议更新时虽然携带子网掩码;但若没有关闭自动汇总功能,RIP将携带主类掩码;关闭后将更新接口真实的掩码;
R2:
[r2]rip
[r2-rip-1]version 2
[r2-rip-1]un summary
[r2-rip-1]network 192.168.1.0
R3:
[r3]rip
[r3-rip-1]version 2
[r3-rip-1]un summary
[r3-rip-1]network 192.168.1.0
[r1]display ip routing-table protocol rip
[r2]display ip routing-table protocol rip
[r3]display ip routing-table protocol rip
此时根据题目要求,3.3.3.0/24网段为互联网中千千万万代表的网段,不能直接进行宣告,所以在R3上做一个缺省路由,R1和R2自动学习到该缺省路由,达到全网可达的目的。
[r3]rip
[r3-rip-1]default-route originate
R3路由设备做为缺省路由的缺省的源头,配置完成后向内部下发缺省,R3不显示却缺省路由
在R1和R2上查看路由表
[r1]display ip routing-table
[r2]display ip routing-table
结果:实现全网可达
3. 路由优化–RIP的安全认证,汇总,防环
RIP的安全认证
现在利用抓包工具查看RIP协议共享的路由
在R1的g0/0/1接口抓包,我们看到R1将自己的两个环回网段共享出去,源IP为192.168.1.1,目标IP地址为 224.0.0.9 为组播地址
源IP为192.168.1.2,目标IP地址为 224.0.0.9
R2将自己的网段和从R3学习到的都共享过来给R1,包括那条缺省路由
点开该路由信息,可以查看相关信息,如果有人进行抓包,就会看到这些信息
为了达到安全的效果,我们还需要做RIP设备的相关认证
R1:
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher jiami123
再次进行抓包查看,此时路由信息都被加密保护隐蔽
但是R2上传来的路由还是明文的,所以我们需要在R2上同样进行,同模式同密码的密文加密,如果两边配置不一样,在经过180s后,就是每隔30s进行一次周期更新,认证失败,发送6次后,R1和R2之间相互学习的路由会被清除掉
R2:
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher jiami123 #安全认证,基于密文传输
同理,当R1与R2之间做了RIP的认证,R2和R3之间还没有做认证,其之间传输还是明文显示的,所以R2与R3还需要认证,但是认证密码不一定要和R1-R2之间的密码一样,可以自己设置。
手工汇总,实现减少路由条目数量
配置汇总之前:R3上学习到R1的两条环回路由
配置汇总之后,两条就汇总成之前的 192.168.1.64/26网段的一条路由了
[r1]interface GigabitEthernet 0/0/1 #进入到路由发出的接口
[r1-GigabitEthernet0/0/1]rip summary-address 192.168.1.64 255.255.255.192 #手工汇总命令
R2上进行路由汇总
如果只在与R1连接的接口上进行配置
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]rip summary-address 192.168.1.128 255.255.255.192
查看R1的路由表
但是查看R3的路由表还是两条路由
所以还需要在R2-R3之间的出接口上做汇总
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]rip summary-address 192.168.1.128 255.255.255.192
此时再次查看R3路由表,就汇总成了一条路由,实现了 减少了路由条目数量的目的
总结:RIP的手工汇总一定是在更新源设备上所有的更新发出接口上都要进行操作
避免环路
该路由的环路产生:
如果没有汇总,当R1的192.168.1.64/27网段突然断掉,基于触发更新机制,R2,R3会知道没有该路由信息,就不会发生环路。
如果配置汇总后,当R1的192.168.1.64/27网段突然断掉,但是R1只会周期发送他的汇总路由(除非两个明细路由都断掉才不会发送),那么R2,R3就以为R1的192.168.1.64/27网段还存在,例如当R3去找R1的192.168.1.64/27网段,当找R1的流量过去,R1不存在该路由信息,就会基于缺省路由又返回回来,从而造成环路。
如何解决?在所有进行了汇总配置的设备上写一条关于汇总路由的空接口路由
[r1]ip route-static 192.168.1.64 26 NULL 0
[r2]ip route-static 192.168.1.128 26 NULL 0
至此,所有试验要求已经达到…眼睛好酸~
温馨提示:揉会儿眼睛~~
扫一扫
1996
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
