RIP的路由控制
通过修改优先级影响RIP的选路
[r1-rip-1]preference 150 --- 将RIP默认优先级修改为
150(仅影响本地路由表) ---- 仅适用于不同协议之间进行比较选路
通过修改开销值影响RIP的选路
1,在RIP中,不允许将开销值修改变小,主要是因为RIP存在15跳的限制,如果随意将开销值改小,则将导致15跳限制形同虚设。所以,RIP在进行开销值修改时,只能将开销值改大。
2,在开销值改大时,也可以从两个方向入手修改
1),出方向修改,即路由信息发出时所在路由器上进行修改,这种修改方式不影响自身,只影响他人。
如果选择在出方向修改,则修改的是路由传递时的增加值。
2),入方向修改,即路由信息接收方的路由器上进行修改,这种修改方式只影响自身,不影响他人。
如果选择在入方向修改,则修改效果是直接在本地路由表开销值的基础上增加。
如果需要进行精准控制,就是对某个网段的路由信息中的开销值进行调整,我们可以使用ACL列表对该网段流量进行抓取,之后针对抓取流量进行开销值的修改。
实验步骤:
1,创建ACL列表,抓取对应网段流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 4.4.4.0 0
2,在接口上修改开销值
[r2-GigabitEthernet0/0/0]rip metricout 2000 10 --- 出方向修改
[r1-GigabitEthernet0/0/0]rip metricin 2000 3 --- 入方向修改
知识点九:路由过滤 --- 也属于路由控制的一种,我们可以过滤掉某些路由信息,这样从一开始,就不去加表。
路由过滤也可以分为入方向(影响自己)和出方向(影响别人)在华为设备中,进行路由过滤需要用到过滤列表 --- filter-policy 过滤列表本身是高阶列表,但是因为自身并不具备过滤功能,所以需要调用ACL列表,并且依赖ACL列表的过滤功能。
1,创建ACL列表,抓取并过滤路由信息
[r2]acl 2001
[r2-acl-basic-2001]
[r2-acl-basic-2001]rule deny source 4.4.4.0 0
[r2-acl-basic-2001]rule permit source any --- 一定要加,因
为华为设备ACL列表末尾并不是隐含了一条允许所有的规则,只是对未匹配到的流量不做处理。如果不加这一条,则将会过滤掉所有路由信息。
2,通过过滤列表对路由信息进行过滤
[r2-rip-1]filter-policy 2001 export GigabitEthernet 0/0/0 --- 在出方向调用过滤列表
[r1-rip-1]filter-policy 2001 import --- 在入方向进行调用
知识点十:单播邻居
[r1-rip-1]peer 10.0.0.2 --- 单播邻居的配置方法(注意,邻居之间必须互相指定对方为自己的单播邻居才行) ---- 邻居之间将以单播的形式发送路由信息,但是,组播或者广播信息也同时会发送。所以,单播邻居需要和沉默接口一起使用才能达到其效果。(如果存在多个路由器需要相互指定)
沉默接口 --- 1,只收数据不发数据:
2,沉默接口的效果只影响组播或者广播包,但是,对单播包没有影响
网络类型 --- 根据数据链路层所使用的协议及规则来进行划分
P2P网络 --- 点到点网络
MA网络 --- 多点接入网络
--- BMA 广播型多点接入网络
--- NBMA 非广播型多点接入
数据链路层协议
以太网协议 ---- 封装数据帧是,需要假如源MAC地址和目标MAC地址 (MAC地址是以太网所独有)
原因:利用以太网建立的二层网络中可以包含多个(两个或两个以上)接口,每个以太网接口之间都可以通过交互以太网帧的形式进行二层通讯。 ---- 以太网可以组建多节点的网络
所以,以太网属于MA网络,因为以太网是支持广播的,所以,以太网 应该属于BMA网络。
当一个网络中只能存在两台设备,并且不允许第三台设备加入,这样的网络我们称为P2P网络。(不需要靠MAC地址进行主机的区分)
串线 --- T1:1.544Mbps
E1:2.048Mbps
以太网 ---- 频分 --- 所谓频分,就是一根铜丝上可以同时发送不同频段的信号,而互不干扰。实现按数据的并行发送。
同轴电缆,RJ-45双绞线 --- 数字信号
RJ - 11电话线 --- 模拟信号
光纤 --- 光信号
数据链路层协议分类:
1,HDLC:
HDLC ---- 高级数据链路控制协议 --- 一种专门应用在串线链路中的协议
分类:
满足标准的HDLC:ISO组织在SDLC的基础上优化得来的
非标的HDLC:各大厂商在标准的HDLC的基础上再进行优化发展而来
的。
(不同厂商的HDLC和标准的HDLC之间均不兼容)
HDLC的配置
[r1]display interface Serial 4/0/0 --- 查看接口的二层特征
[r2-Serial4/0/0]link-protocol hdlc --- 修改点到点网络二层封装类型
Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N] :y
HDLC从数据包内容来看,字段较少,可以完成的事情较少,仅完成了二层
介质访问控制的工作。
2,PPP:
PPP ---- 点到点协议 --- 应用在串线链路的协议
1,因为PPP协议具有相同的标准,所以,其兼容性较强。同时也体现在,其可以支持任何一种支持全双工的串线之中。
2,有较强的可移植性。 ---- PPPoE
PPP和tcp协议一样,需要去建立相应的PPP会话
PPP会话建立分为三个阶段:
1,链路建立阶段 --- LCP建立
2,认证阶段 --- PPP的认证 ---- 可选
3,网络层协议阶段 --- NCP协商
PPP协议中包含多个成员协议 --- LCP协议 --- 链路控制协议
--- NCP协议(一堆协议的总称) --- 网络控制 协议
--- IPCP协议 ---- 主要针对三层使用的时IP协议时进行性网络层参数协商的NCP协议
PPP的帧结构
F -- flag(标记) -- 相当于以太网帧中的前导符
A -- Address -- 始终用FF来填充(8位二进制全1)
C -- Control -- 固定取值00000011
协议 --- 表明后续信息部分所采用的协议类型。
FCS --- 帧校验序列 --- 进行数据完整性的校验
实行步骤:
1,链路建立阶段 ---- LCP建立 --- 主要任务是通过LCP协议来进行建立链路时所需的一些参数的协商工作。
MRU --- PPP帧的数据部分所能携带的最大字节数
第二阶段认证部分是否需要进行以及如何进行也需要在LCP建立阶段进行协商。
2,认证阶段 --- PPP的认证阶段可以调用AAA来进行认证
PPP的认证可以是单向认证也可以是双向认证
PAP --- 密码认证协议
如果认证选择的是PAP协议,则被认证方将用户名和密码以明文的形式发送给认证方。如果认证成功,认证方将回一个ACK进行确认。如果认证失败,则将回复NAK报文。
CHAP --- 挑战握手协议 --- 安全性更高,因为认证传递的不是明文信 息,而是通过比对摘要值的方法来进行认证的。
摘要值 --- 通过HASH算法计算得出的 --- HASH(散列函数):可以将任意长度的输入转换成固定长度的输出。 ---- 这个固定长度的输出就是摘要值。 --- MD5 --- HASH算法中的一种,可以将任意长度的输入转换为128位的输出。
HASH算法的特点:
1),不可逆性 --- 一种压缩映射
2),雪崩效应 --- 如果我们输入中存在细微的变化,则输出的摘要值将发生明显的变化
3,网络层协议阶段 --- NCP协商 --- IPCP --- 主要是通过IPCP协议去协商网络层的相关参数。
1),IP地址
2),IP报文的压缩格式
通过NCP协商机制,可以自动下发IP地址。
3)、通过NCP协商自动获取IP地址
获取方配置:
[r1-Serial4/0/0]ip address ppp-negotiate
发放IP地址方配置:
[r2-Serial4/0/0]remote address 2.2.2.2
PPP认证配置
PAP:
认证方
[r2-aaa]local-user changan password cipher jiayou
Info: Add a new user.
[r2-aaa]local-user changan service-type ppp
[r2-Serial4/0/0]ppp authentication-mode pap --- 接口配置PAP认证
被认证方:
[r1-Serial4/0/0]ppp pap local-user changan password cipher jiayou --- 接口配置登录用的用户名和密码
CHAP:
认证方
[r2-aaa]local-user changan password cipher jiayou
Info: Add a new user.
[r2-aaa]local-user changan service-type ppp
[r2-Serial4/0/0]ppp authentication-mode chap --- 接口配置
PAP认证
被认证方:
[r1-Serial4/0/0]ppp chap user changan
[r1-Serial4/0/0]ppp chap password cipher jiayou --- 接口配置登录用的用户名和密码
GRE,MGRE
物理专线 ---- 成本高,个人未知不确定
VPN --- 虚拟专用网 --- 虚拟的专线
VPN --- 核心技术 --- 隧道技术 --- GRE
GRE --- 通用路由封装 --- 创建一条点到点的隧道
我们希望的走法
SIP:192.168.1.1 | DIP:192.168.2.1 | 数据 |
真实数据包的走法
SIP:12.0.0.1 | DIP:23.0.0.2 | 数据 |
加入GRE之后
SIP: 12.0.0.1 | DIP: 23.0.0.2 | GRE | SIP: 192.168.1.1 | DIP: 192.168.2.1 | 数据 |
隧道技术 --- 在隧道的两端通过封装以及解封装技术在公网上建立一条
数据通道。使用这个数据通道进行数据传输。
注意,一旦隧道建立成功护,将会把两边的私网融合成一个私网。所以,
在一开始分配私网网段时,就需要考虑,避免网段冲突。
GRE的配置
1,创建隧道接口
[r1]int Tunnel 0/0/?
<0-511> Tunnel interface interface number
[r1]int Tunnel 0/0/0
[r1-Tunnel0/0/0]
2,隧道接口配置IP地址
[r1-Tunnel0/0/0]ip address 192.168.3.1 24 --- 配置的是个私网地址
3,定义封装类型
[r1-Tunnel0/0/0]tunnel-protocol gre
4,定义封装内容
[r1-Tunnel0/0/0]source 12.0.0.1
[r1-Tunnel0/0/0]destination 23.0.0.2
GRE ---实际上搭建的是一个点到点的隧道,其最明显的问题就是拓展性较差,当存在多个私网需要连接时,使用GRE的话需要两两之间建立隧道,最好可以使用类似MA网络的方式进行连接 --- MGRE --- 多点通用路由封装协议
MGRE --- 多点通用路由封装技术
NHRP协议 --- 下一跳解析协议 ---- 自动学习隧道地址和物理地址的对应关系的一种方法。
原理:需要在私网中选出一个物理接口不会发生变化的作为NHRP的中心(NHS --- 下一跳服务器)。剩下的分支都需要知道中心的隧道IP和物理接口IP,他们需要将自己的物理接口IP和隧道IP发送给中心(如果分支的物理接口的IP地址发生变化,则需要立即将对应关系重新发送)。这样,NHS将会收集所有分支的地址映射关系。之后需要通讯时,查看对应关系,封装对应的接口IP地址即可。分支之间需要进行通讯,则先将数据发给中心,由中心进行转发。----- 这种中心站点到分支站点的架构 --- HUB-SPOKE架构
因为MAGRE搭建的逻辑拓扑是一个多节点的网络,但是,发送信息时依然是点到点的发送,无法使用广播或者组播行为,所以,这样的网络我们可以称为NBMA网络。(他属于逻辑上搭建出的NBMA网络,真正意义上物理设备搭建出的NBMA网络是帧中继。)
MGRE的配置过程
给中心站点进行配置(边界路由器出接口的公网IP地址不会发生变化的作为NHS,即中心站点)
[r1]int t 0/0/0 --- 创建隧道接口
[r1-Tunnel0/0/0]ip address 192.168.5.1 24 --- 配置隧道IP地址
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp --- 选择封装类型 ---- 选择MGRE
[r1-Tunnel0/0/0]source 15.0.0.1 --- 定义源IP地址
[r1-Tunnel0/0/0]nhrp network-id 100 --- 创建NHRP域
给分支站点进行配置
[r2]int t 0/0/0
[r2-Tunnel0/0/0]ip address 192.168.5.2 24
[r2-Tunnel0/0/0]tunnel-protocol gre p2mp
[r2-Tunnel0/0/0]source GigabitEthernet 0/0/1 --- 以接口作为封装源,以应对IP地址的变化
[r2-Tunnel0/0/0]nhrp network-id 100 --- 加入NHRP域,必须是和 中心站点创建相同的域
[r2-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register --- 找中心站点进行注册
隧道地址 物理接口地址
<r1>display nhrp peer all --- 可以查看NHRP信息收集情况
通过RIP获取路由信息
1,中心站点可以收到分支的数据包,但是,分支不能收到中心站点的数据报 --- MGRE环境下不支持广播或者组播行为 ---- 在中心站点开启伪广播 --- 分别给所有节点发送单播以达到广播的效果
[r1-Tunnel0/0/0]nhrp entry multicast dynamic --- 开启中心站点伪广播
2,开启伪广播后,分支站点只能收到中心站点的路由信息,却不能收到其他分支站点的路由信息。
--- RIP水平分割导致
[r1-Tunnel0/0/0]undo rip split-horizon --- 关闭接口水平分割功能