本文介绍了动态路由的基本概念,包括RIP、OSPF、IS-IS和BGP等协议。详细阐述了RIP动态路由的工作原理、优缺点、V1和V2的区别以及防环机制。同时,提供了RIP的配置方法,如基础配置、手工汇总、认证、沉默接口和缺省路由的设置,以及如何加快收敛速度。最后,通过一个实验案例展示了RIP在实际网络环境中的应用和配置步骤。
一、动态路由
1、概念
动态路由协议,所有路由器运行相同的协议后,路由器间进行沟通计算自动生成路由表,随着拓扑的变化可以实时的重新收敛计算新的路径;在条目的配置量不会和静态路由一样随着网络的增大而变的复杂。所有的动态路由协议在TCP/IP协议栈中都属于应用层的协议。但是不同的路由协议使用的底层协议不同。常见的动态路由协议:RIP(Routing Information Protocol,路由信息协议)、OSPF(Open Shortest Path First,开放最短路径优先)、IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)、BGP(Border Gateway Protocol,边界网关协议)。
2、动态路由优缺点
优点:
① 无需管理员手工维护,减轻了管理员的工作量。
② 在路由器上运行路由协议,使路由器可以自动根据网络拓扑结构的变化调整路由条目。
缺点:
① 路由器间的沟通和本地的计算将消耗硬件资源。
② 风险问题:由于动态协议需要路由器的沟通和计算面临被攻击的风险。
③ 选路问题:可能计算所得的路径不是最佳或者出现环路。
二、RIP动态路由
1、概念
RIP(Routing information Protocol)是早期第一代动态路由协议,是一种基于距离矢量(Distance-Vector)算法来计算到达目的网络的最佳路径路由协议,它通过UDP报文进行路由信息的交换,使用的端口号为520,RIP是基于跳数(最多支持15跳)来衡量到达目的地址的距离,称为度量值,RIP协议有多个版本,分为v1/v2/ng版。
2、V1和V2的区别
RIP V1为有类别协议,在更新过程中不携带子网掩码;所有学习到的路由均按主类赋予掩码;故在使用RIP V1为避免出现大量的路由黑洞,不建议进行子网划分,而是直接配置主来的网段;RIP V1不支持手工汇总;RIP V1是广播更新。
RIP V2为无类别协议,更新时携带子网掩码;支持手工汇总和子网划分。RIP V2是组播更新。
3、RIP 的工作原理
RIP协议的处理是通过UDP 520端口来操作的,所有RIP消息都被封装在UDP用户数据协议中,源和目的端口字段的值都被设置为520。RIP定义两种消息类型:请求消息(request messages)和响应消息(response messages)。请求消息用来向邻居路由器发送一个更新(update),响应消息用来传送路由更新。RIP的度量是基于“跳”数(hop count)的,1跳表示是与发出通告的路由器相直连的网络,16跳表示网路不可达。
开始时,RIP从每个启用RIP协议的接口广播出所有请求消息的数据包,接着,RIP程序进入下一个循环状态,不断地侦听来自其他路由的RIP请求或响应消息,而接受请求的邻居路由则回送包含它们的路由表的响应消息。
当发出请求的路由器接收到响应消息时,它将开始处理附加在响应消息中的路由更新信息。如果路由更新中的路由条目时新的,路由器则将新的路由连同通告路由的地址一起加入到自己的路由表中,这里通告路由器的地址可以从更新数据包的源地址字段读取。如果网络的RIP路由已经在路由表中,那么只有在新的路由拥有更小的跳数时才能替换原来存在的路由条目。如果路由更新通告的跳数大于路由表已记录的跳数,并且更新来自于已记录条目的下一跳路由器,那么该路由将在一个指定的抑制时间网段(holddown period)内标记为不可到达。如果在抑制时间超时后,同一台邻居路由器仍然通告这个有较大跳数的路由,路由器则接受该路由新的度量值。
4、RIP的防环机制
(1)水平分割:从此口入不从此口出,从该接口学习到的路由体条目不再从该接口出发;其意义在于可以防止直线拓扑的环路;最重要的作用是防止重复的更新。
(2)毒性逆转水平分割:触发更新---拓扑结构发生改变时,由更新源头设备第一时间发送更新到所有邻居。
(3)抑制计时器:触发更新为正在重新进行收敛的网络增加了应变能力。为了降低接受错误路由选择信息的可能性。
三、RIP的配置
1、RIP基础配置
[r1]rip 1
启动是需要定义进程号,进程号只具有本地意义,若不定义默认为1
[r1-rip-1]version 2 简写 v 2
选择版本,通常使用的是版本2,默认相同版本可以建立邻居。
宣告:①激活接口—可以收发该路由版本协议的信息;②路由条目-被宣告接口的路由信息共享该邻居。
A类:[r1-rip-1]network 10.0.0.0
B类:[r1-rip-1]network 172.16.0.0
C类:[r1-rip-1]network 192.168.1.0
RIP宣告主类网络号。
2、RIP扩展配置
(1)RIP V2的手工汇总:在更新源路由器上所有更新出发的接口上配置即可
命令:int g0/0/0
rip summary-address 1.1.0.0 255.255.0.0
汇总网段的子网掩码必须写成十进制,不能用子网掩码位数个数来表示
(2)RIP的手工认证:在直连的RIP邻居设定一个共享的密钥,用与核实身份,避免被攻击,保障更新安全;华为设备在配置认证后,还可以对更新的数据进行密文传输。
命令:int g0/0/0
rip authentication-mode md5 usual cipher 123456
在直连邻居的接口上配置,MD5是选择加密方式 123456为共享密钥,邻居间的密钥和模式必完全一致。
(3)沉默接口:仅接收不发送动态路由协议的信息,用于连接终端用户的接口,不得用于连接邻居路由器的接口,否则无法邻居间无法完整共享路由信息。
命令:rip 1
silent-interface g0/0/0
(4)缺省路由:在连接内外网的边界路由器上,配置缺省命令后;该设备将向内网运行RIP的路由发送缺省信息,之后内部所有运行RIP协议的路由将生成缺省路由指向边界路由器方向;若边界路由需要指向ISP的缺省,还得管理员在边界路由器上手工配置静态缺省指向ISP。
命令:rip 1
default-route originate
(5)加快收敛:RIP计时器默认30s更新时间 180s失效时间 300s的刷新时间 180s抑制时间;适当修改计时器可以加快RIP的收敛速度,修改时建立维持原有的倍数关系;且不易修改过小,网络中所有运行RIP的设备建议都修改成一致的时间。
命令:rip 1
timers rip 15 90 150 90
四、RIP实验
1、r1-r3地址为192.168.1.0/24,r1和r2上有两环回,请合理分配;
2、r3的环路地址为:3.3.3.0/24 ,该网段不能在rip中宣告;
3、R1下面有PC1 PC2并且可以访问R3的环回网段。
4、整个网络使用rip v2,全网可达,路由汇总,防止环路,保障更新安全,加快收敛速度。
解决方案:
1、规划IP地址
192.168.1.0/24 根据拓扑图需要至少4个子网,需要向主机位借2位
骨干: 192.168.1.00 000000/26 192.168.1.0/26
R1-R2:192.168.1.000000 00/30 192.168.1.0/30
R2-R3:192.168.1.000001 00/30 192.168.1.4/30
其他预留
R1用户:192.168.1.01 000000/26 192.168.1.64/26
R1环回:192.168.1.10 000000/26 192.168.1.128/26
环回1:192.168.1.100 00000/27 192.168.1.128/27
环回2:192.168.1.101 00000/27 192.168.1.160/27
R2环回:192.168.1.11 000000/26 192.168.1.192/26
环回1:192.168.1.110 00000/27 192.168.1.192/27
环回2:192.168.1.111 00000/27 192.168.1.224/27
2、接口IP地址配置
R1:
<Huawei>sy
[Huawei]sysname r1
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip address 192.168.1.65 26
[r1-GigabitEthernet0/0/1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 30
[r1-GigabitEthernet0/0/0]int lo0
[r1-LoopBack0]ip address 192.168.1.129 27
[r1-LoopBack0]int lo1
[r1-LoopBack1]ip address 192.168.1.161 27R2:
<Huawei>sy
[Huawei]sysname r2
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]ip address 192.168.1.2 30
[r2-GigabitEthernet0/0/1]int g0/0/0
[r2-GigabitEthernet0/0/0]ip address 192.168.1.5 30
[r2-GigabitEthernet0/0/0]int lo0
[r2-LoopBack0]ip address 192.168.1.193 27
[r2-LoopBack0]int lo1
[r2-LoopBack1]ip address 192.168.1.225 27R3:
<Huawei>sy
[Huawei]sysname r3
[r3]int g0/0/1
[r3-GigabitEthernet0/0/1]ip address 192.168.1.6 30
[r3-GigabitEthernet0/0/1]int lo0
[r3-LoopBack0]ip address 3.3.3.3 243、使用RIP宣告
R1:
[r1]rip 1
[r1-rip-1]v 2
[r1-rip-1]network 192.168.1.0R2:
[r2]rip 1
[r2-rip-1]v 2
[r2-rip-1]net
[r2-rip-1]network 192.168.1.0R3:
[r3]rip 1
[r3-rip-1]v 2
[r3-rip-1]network 192.168.1.0验证宣告是否成功:
4、沉默接口
需要沉默R1的g0/0/1接口,因为下面连接了用户网段,用户只需要接收数据就行。
[r1]rip 1
[r1-rip-1]silent-interface g0/0/15、配置PC1 PC2
PC1:
PC2:
6、r3的环路地址为:3.3.3.0/24 ,该网段不能在rip中宣告,那么可以直接用缺省路由解决。
[r3]rip 1
[r3-rip-1]default-route originate验证:用PC1 PC2去访问R3的环回3.3.3.3/24
验证成功,这也说明已经实现全网可达了。
7、路由汇总
路由汇总和你规划IP地址的时候有很大关系,所以我们在规划IP地址的时候一定要合理规好IP地址。
首先,查看R3上面的RIP路由条目
R1上进行汇总
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.1.128 255.255.255.192R2上进行汇总
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]rip summary-address 192.168.1.192 255.255.255.192再去R3上面查看
8、保障安全更新
就是再路由器两设备之间进行安全认证
认证前,抓包可以看出没有所有路由信息是可见的。
在R1进行认证
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456在R2进行认证
[r2]int g0/0/1
[r2-GigabitEthernet0/0/1]rip authentication-mode md5 usual cipher 123456认证之后再进行抓包就会发现看不见路由信息,已经进行了加密。
R2和R3之间也进行同样方法进行加密。。。注意的是两端的密码必须一致。
9、加快收敛速度
R1
[r1] rip 1
[r1-rip-1]timers rip 15 90 150R2
[r2] rip 1
[r2-rip-1]timers rip 15 90 150R3
[r3] rip 1
[r3-rip-1]timers rip 15 90 150网络中所有运行RIP的设备建议都修改成一致的时间,可以通过抓包软件来验证手收敛速度是否加快,加快了,你会发现里面的数据包会比之前弹出更快。
10、进行验证
在这里就实验就做完了,现在用PC1 PC2来验证是否全网可达,我这里就演示一两个。
PC1
PC2
2718
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
