动静态路由协议优缺点
静态路由协议缺点:
配置繁琐
针对拓扑的变化不能够自动收敛
静态路由协议的优点:
占用资源小
安全 稳定
动态路由协议的优点:
配置简单
针对拓扑的变化可以自动重新收敛
适用于中大型网络
动态路由协议的缺点:
安全性
占用资源大
容易造成选路不佳 -- 环路
衡量动态路由协议好坏的标准:
选路佳
占用资源小
收敛速度快
动态路由协议
分类
根据AS进行分类
AS--自治系统--全球划分不同AS
公有 AS 0-64511
私有 AS 64512-5535
IGP:内部网关路由协议
RIP OSPF EIGRP ISIS
EGP:外部网关路由协议
EGP BGP
在IGP中,根据更新特点分为
DV:距离矢量 (RIP EIGRP)
LS:链路状态 (OSPF ISIS)
在IGP中,根据更新时是否携带掩码分为
无类别路由协议 -- 携带掩码
有类别路由协议 -- 不携带掩码
RIP
标准的距离矢量型路由协议,邻居间直接共享路由表
基于UDP520端口工作 -- 贝尔曼-福特算法
周期更新 -- 30s
优先级100
度量值以跳数计算
存在V1/V2/NG(下一代IPV6专用)
V1和V2的区别:
【1】V1有类别协议,不携带子网掩码,不能区分子网划分和汇总;
V2无类别协议,携带子网掩码,进行VLSM和子网汇总,不支持超网;
【2】V1广播更新--255.255.255.255 V2组播更新--224.0.0.9
【3】V2支持手工认证
防环机制
水平分割
核心作用:消除MA网络中的重复更新量
毒性逆转水平分割
跳数限制 -- 16跳
抑制计时器
rip计时器
更新 失效 抑制 刷新
30 180 180 240
华为
更新 老化 垃圾收集
30 180 120
V2配置
[r1]rip ?
INTEGER<1-65535> Process ID
[r1]rip 启动时可以定义进程号;默认为进程1; 仅具有本地意义
[r1-rip-1]version 2 选择版本2;
宣告:1、激活--被选中接口可以收发rip的信息 2、共享路由--被选中接口的网段可以共享给本地的所有邻居;
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 12.0.0.0
[r1-rip-1]network 172.16.0.0
[r1-rip-1]network 192.168.1.0
扩展配置
1)手工认证
邻居间收发的RIP消息中进行身份核实口令添加;同时华为在接口开启认证后,所有rip的信息将被加密传输
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456
两两直连的邻居间,认证口令和模式必须完全一致;
2)汇总
-- 在更新源路由器上,所有更新发出的接口上配置
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]rip summary-address 1.1.0.0 255.255.252.0
汇总网段
3)沉默接口(被动接口)-- 仅接收不发送路由协议信息;只能用于连接用户终端的接口;
不能用于直连路由器邻居的接口,否则邻居间将无法共享路由信息
[r1]rip 1
[r1-rip-1]silent-interface GigabitEthernet 0/0/0
4)加快收敛速度
适当的修改计时器,可以加快协议的收敛速度;修改时,全网所有运行rip的设备建议一致;维持原有倍数关系;且不易修改的过小;
[r1]rip 1
[r1-rip-1]timers rip 30 180 300 抑制计时器不修改
5)缺省路由
在边界路由器上定义缺省源头信息后,将向内网发布缺省路由;之后内部路由器将自动生成缺省路由指向边界路由器方向; 边界路由器指向ISP的缺省路由,依然需要手写;
[r3]rip
[r3-rip-1]default-route originate
OSPF
开放式(公有)最短路径优先协议(SPF)
协议号(标识上层协议):89 -- 直接封装在ip报头中
无类别路由协议
链路状态型协议(不是标准的),更新内容 -- LSA
LSA -- 链路状态通告 -- 一条包含了路由及拓扑的信息
采用触发更新
周期更新 -- 30min(解决自己不自信) 原因:
区域内传拓扑、区域间传路由
结构化部署 -- 地址规划和区域划分
区域划分的规则:
1、必须满足星型结构,必须存在骨干在0区域
2、必须存在ABR
ABR -- 区域边界路由器
三表五包七状态
三表:
邻居表、数据库表、路由表
五包:
Hello 邻居的发现,关系的建立;周期(10s)的保活 携带rid
Dbd 数据库描述包;本地数据库目录
Lsr 链路状态请求
Lsu 链路状态更新
Lsack 链路状态确认
Lsa -- 链路状态,具体一条一条路由信息或拓扑信息;但它不是一个包,是被lsu数据包来携带;
七状态:
Down :
一旦接收到的hello 包,进入下一个状态机
Init 初始化:
一旦接收到的hello包中,存在本地的rid,进入下一个状态
2way 双向通讯:
邻居关系建立的标志
关注条件:
Exstart 预启动:
使用不携带目录信息的DBD包,进行主从关系的选举;rid大为主,优先进入下一个状态;解决了目录共享时的无序;
Exchange 准交换:
使用携带目标信息的dbd包,共享本地数据库目录;
loading 加载:
查看完邻接的dbd信息后,对比本地,然后基于本地未知的lsa进行查询;
使用lsr 向对端查询,对端使用lsu来传输这些lsa信息,本地收到后需要lsack来进去确认;
Full :
邻接关系建立的标志; 意味着邻接间,数据库同步(一致)
Hello time -- 10s 或者 30s
启动配置完成后,本地使用组播(224.0.0.5)发送hello包到所有的邻居出,若收集到邻居的hello包,且hello中存在本地routerID,则建立邻居关系,生成邻居表。
邻居关系建立后,将进行条件匹配,条件匹配失败则停留于邻居关系,仅hello包周期保活即可,条件匹配成功,则建立邻接关系(毗邻),邻接关系间将使用DBD、LSR、LSU、LSack来获取未知的LSA信息,当获取到所有LSA信息后,本地生成LSDB--数据库表,在本地基于LSDB计算到达所有位置网段的最短路径,生成路由表。
条件匹配:
匹配的网络类型
建立邻接关系的条件:
点到点网络: 直接建立邻接关系
MA网络:MA网络中将进行DR、BDR的选举,仅DRother间建立邻居关系,其他均为邻接关系。
选举规则:
1、比较接口优先级,默认为1
2、比较routerID,routerID数字大者为主
routerID
作用: 标识路由器
产生:
1、手工配置 -- 保证全网唯一
2、默认使用本地最大环回地址
3、本地最大物理接口ID接口
干涉选举:
通过修改接口优先级可以干涉DR、BDR的选举
接口优先级为0,表示不参加选举,直接为DRother
非抢占性选举
COST的计算方法:整段路径的cost之和
参考带宽/接口带宽
OSPF强制下放缺省 -- 边界路由器上本无缺省路由
VLAN
虚拟局域网
作用:路由器和交换机协同工作,将大的广播域化成小的广播域。
标签(PVID)管理
配置思路:
1、交换机上创建vlan
2、交换机上的各个接口划分到对应的vlan中
3、Trunk(中继)干道
4、VLAN间的路由 --- 路由器的子接口(单臂路由) 多层交换机的SVI
配置命令:
1、交换机上创建 VLAN的编号由12位二进制构成; 0-4095;其中1-4094可用;
默认交换机存在vlan1;且所有接口默认存在vlan1;
[sw1]vlan 2
[sw1-vlan2]q
[sw1]vlan 3
[sw1-vlan3]q
[sw1]vlan batch 4 to 10
[sw1]vlan batch 11 to 20 25 to 30
2、交换机上的各个接口划分到对应的vlan中
[sw1]interface Ethernet0/0/1 单独将某个接口划分到对应的vlan
[sw1-Ethernet0/0/1]port link-type access 先将该接口修改为接入模式
[sw1-Ethernet0/0/1]port default vlan 2 再将该接口划分到对应的vlan中
批量的将多个接口划分到同一个vlan
[sw1]port-group group-member Ethernet 0/0/3 to Ethernet 0/0/4
[sw1-port-group]port link-type access
[sw1-port-group]port default vlan 3
3、trunk 干道 不属于任何一个vlan,承载所有vlan流量转发;可以标记(封装)识别(解封装)不同vlan的标签;
VLAN ID压入到数据帧中的标准 --- 802.1q(dot1.q)
[sw1]interface e0/0/5
[sw1-Ethernet0/0/5]port link-type trunk 将接口修改trunk模式
[sw1-Ethernet0/0/5]port trunk allow-pass vlan 2 to 3
注:默认华为交换机仅允许VLAN1通过;需要定义允许列表
[sw2-Ethernet0/0/3]port trunk allow-pass vlan all 允许所有vlan通过
4、路由器子接口
[router]interface g0/0/0.1 创建子接口
[router-GigabitEthernet0/0/0.1]dot1q termination vid 2 定义其管理的vlan
[router-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24
[router-GigabitEthernet0/0/0.1]arp broadcast enable 开启子接口ARP功能
[router-GigabitEthernet0/0/0.1]q
[router]interface g0/0/0.2
[router-GigabitEthernet0/0/0.2]dot1q termination vid 3
[router-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24
[router-GigabitEthernet0/0/0.2]arp broadcast enable
ACL -- Access Control-List
访问控制列表
允许 permit
拒绝 deny
路由表的加标规则:
当学习到多条路由条目时,先比较优先级、优先级值小(优先级大)优先加表,如果优先级一致,比较cost值,cost值小的优先加表,如果cost值也相同,则同时加表 -- 等开销负载均衡
路由表的查表规则:
递归查找,最长匹配(掩码最长)
ACL匹配规则:
华为:从上到下依次匹配,一旦匹配成功则不再往下查询,末尾隐藏允许所有
匹配数据时末尾允许所有
匹配路由时末尾拒绝所有
思科:从上到下依次匹配,一旦匹配成功则不再往下查询,末尾隐藏拒绝所有
作用:
1)实现访问控制
2)定义感兴趣流量
分类:
标准ACL 2000-2999
只关注IP地址,使用时应该尽量靠近
扩展ACL 3000-3999
关注数据包的五元组
源端口、目的端口、源IP、目的IP、协议号
ACL的写法
编号写法
命名写法
NAT
边界路由器上--连接外网的公有ip地址所在接口配置边界路由器上,对进、出的流量进入源或目标ip地址的修改;
SNAT -- 源地址转换
DNAT -- 目标地址转换
NAPT -- 端口地址转换
私有地址转公有地址
公有地址转私有地址
DHCP
UDP协议