静态路由
| Destination/Mask | Proto | Pre | Cost | Flags | NestHop | Interface |
|---|---|---|---|---|---|---|
| 网段/掩码 | 协议 | 优先级 | 开销值 | 标记位 | 下一跳 | 出接口 |
-
路由表匹配规则:最长掩码匹配规则。----路由器总是选择最精确、最优的路由项来进行数据转发。1、卸载ensp及三个配置插件 2、清理注册表--->清理残留虚拟网卡 3、开启系统虚拟化 4、重新安装--->检查虚拟网卡IP地址192.168.56.1/24
-
路由信息的来源:直连路由、静态路由、动态路由 ;设备自动发现、手工配置、通过动态路由协议生成。
[r1]display ip routing-table ----查看全局路由表
直连路由
1.网络设备在启动之后,当设备的接口处于UP状态时,设备能够自己去发现去往与自己接口直连相连的网络的路由。
2.直连路由产生的条件
-
接口必须双UP
-
必须配置IP地址
3.特征
-
优先级—0
-
开销值—0
路由的优先级
路由项的优先级越小,则代表路由项的优先度更高
| 路由来源 | 缺省优先级 |
|---|---|
| 直连路由 | 0 |
| OSPF | 10/150 |
| 静态路由 | 60 |
| RIP | 100 |
| BGP | 255 |
开销值
在静态路由和直连路由中,开销值为0。
等价路由----目的地相同,优先级(路由发现方式)与开销值均相同,且下一跳不同。
[r1]ip route-static 192.168.1.192 26 192.168.1.66
目标网段 掩码 下一跳
下一跳-----流量流经的方向的下一个路由器的入接口IP地址
静态路由协议扩展配置
等价路由
1.当路由器访问同一个目标网段时,具备多条开销相似的路由时,可以让流量拆分后延多条路径进行传输,达到叠加带宽的效果,减少单条链路数据传输压力。------形成等价路由的条件:路由来源相同、开销值相同。
[R1]ip route-static 192.168.1.0 24 12.0.0.2
[R1]ip route-static 192.168.1.0 24 12.1.1.2
2.路由表中存在等价路由之后,前往该等价路由的目的网段的IP报文会被路由器通过所有有效接口转发,这种转发行为被称为负载分担或负载均衡。
环回接口
路由器的虚拟接口,通常用于网络测试,使用环回接口模拟一个真实的用户网段。
[R2]interface LoopBack 0 ----创建环回接口,编号为0
[R2-LoopBack0]ip address 192.168.1.1 24 ----配置环回接口IP地址
手工汇总
当路由器需要配置多条路由项时,可以选择将其进行子网汇总,减少配置量。减少路由表数量,降低CPU运算,提高转发效率。
[R1]ip route-static 192.168.0.0 22 12.0.0.2----目标网段为汇总路由
路由黑洞
在手工汇总时,可能会包含一些网络中实际不存在的网段,造成流量有去无回的现象,并且浪费设备与链路资源。-----将流量丢弃的路由器被称为黑洞路由器。
在子网划分和子网汇总时进行严格的合理规划。
缺省路由
不限定目标的路由。
1.缺省路由可以匹配所有流量信息。
2.因为最长掩码匹配规则,所有只有当路由表中没有其他路由项匹配流量时,流量才会匹配上缺省路由。
注意事项:每台路由器上仅存在一条缺省路由。且当一个网络中有多台设备需要配置缺省路由时,缺省路由必须延相同方向进行数据传递。
浮动静态路由
浮动静态路由实际上是给正常链路做了一个备份链路,以保证在正常链路故障的情况下,企业数据流量可以正常通讯,而不会造成较大的流量断路,影响企业效益。
[R1]ip route-static 192.168.2.0 24 12.0.0.2
[R1]ip route-static 192.168.2.0 24 12.1.1.2 preference 61 ----修改优先级
[R1]display ip routing-table protocol static ----查看全局静态路由表
优先级越小,路由项的优先度越高,将10M带宽的链路优先级增大超过静态路由的默认优先级,可以实现浮动静态路由。
一般路由的选择,先对比相同目标路由的优先级,选择具备优先级最小的路由项加入路由表。若存在多条具备最小优先级的路由项,则对比各自的开销值,选择开销值最小的路由项成为加入的全局路由表的最优路由。
骨干链路
路由器和路由器之间的链路----骨干链路,一般不会放置PC。
路由器获取网段的方法:
1.静态路由:由网络管理员手写的路由条目。
2.动态路由:所有路由器上运行相同的一种路由协议,之后通过路由器之间的沟通,协商、,最终产生
缺省路由
缺省路由的目标网段----0.0.0.0/0
[r1]ip route-static 0.0.0.0 0 12.0.0.2
空接口防环
在黑洞路由器上配置一条通往汇总路由的下一跳为空接口的路由信息进行防环操作。
[r1]ip route-static 172.16.0.0 22 NULL 0
浮动静态路由
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2
ip route-static 192.168.10.0 255.255.255.0 21.0.0.2 preference 70
[r2]interface LoopBack 0 ----创建编号为0的环回接口
[r2-LoopBack0]ip address 192.168.1.1 24
[r1]ping -a 21.0.0.1 192.168.1.1 ---设定ping报文中的源IP地址为21.0.0.1
动态协议
自治系统-----AS
AS号----ASN----使用16位二进制进行标识----IANA(互联网数字分配机构)
-
AS内部使用的协议----内部网关协议IGP
-
AS之间使用的协议----外部网关协议EGP
动态路由分类
按照范围分
-
IGP
-
RIP、OSPF、IS-IS、EIGRP
-
-
EGP
-
BGP
-
对IGP协议进行分类
-
按照协议特点分类
-
距离矢量型协议-----DV----共享路由表
-
RIP、EIGRP
-
-
链路状态型协议-----LS-----共享拓扑信息
-
OSPF、ISIS
-
-
-
按照是否携带掩码分类
-
有类别路由协议
-
RIPv1
-
-
无类别路由协议
-
RIP-----路由信息协议
基本概念
-
UDP协议-----端口号520
-
目的IP地址
-
255.255.255.255----RIPv1
-
224.0.0.9------RIPv2
-
-
RIP使用路由的跳数作为开销值Cost,最大值为16----代表本条路由可不用。
-
算法:数据包中传递的开销值=本地开销值+1
-
-
周期更新(保活)/触发更新
一、工作原理
RIP是一种分布式的基于距离向量的路由选择协议。RIP基于距离矢量算法,使用跳数来衡量达到目标地址的理由距离。
RIP将“距离”定义如下:从一路由器到直接相连接的网络的距离定义为1。从一路由器到非直接连接的网络的距离定义为所经过的路由器数加1。
RIP认为好的路由就是他通过的路由器的数目少,一条路径最多只能包含15个路由器,等于16时相当于不可达。
二、特点
1、交换对象
仅和相邻路由器交换信息,不相邻的路由器不交换信息。
2、交换内容
路由器交换的信息是当前本路由器的路由表,该路由器到自治系统中所有网络的最短距离以及到每个网络应经过的下一跳路由器。
3、交换时间
路由器每隔30s更新一次路由信息,如果在180s内没有收到相邻路由器的回应,则认为去往该路由器的路由不可用,该路由器不可到达。如果在240s后仍未收到该路由器的应答,则把有关该路由器的路由信息从路由表中删除。
RIP算法----贝尔曼福特算法
-
当接收到数据包中含有本地路由表中没有的路由项,则直接加载到本地路由表
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳相同,则将数据包中的路由项加载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost大,将将数据包中的路由项加载到本地路由表。
-
当接收到数据包中含有本地路由表中已经存在的路由项,且下一跳不同,比较cost值,若本地路由表中的cost小,则丢弃数据包中的路由项。
RIP的数据包
-
Request请求包
-
Response应答包/更新包——真正携带路由信息
RIP的计时器
周期更新计时器——默认30s
每台RIP路由器都有一个属于自己的RIP周期更新计时器,周期更新计时器是一个倒计时定时器,每当更新计时器的值倒计为0时,路由器就会向它的所有邻居发送RIP应答包
失效计时器——默认180s
每台RIP路由器都会为自己的RIP路由表中的每一个路由项建立并维护一个失效计时器,在RIP路由表中,一个路由项被创建时或者每次被更新时,该路由项的失效计时器的值就会被恢复成初始值,然后开始倒计时
当一个路由项的失效计时器的值倒计为0时,就说明该路由项已经有180s没有被更新了,此时路由器会认为该可以项已经变成一个失效的路由项,即认为该路由项所指的目的地不可达,于是路由器会将该路由的COST值设为16
垃圾回收计时器——默认120s
当一个路由项的失效计时器的值倒计为0时,该路由项就变成了一个失效的路由项,但是路由器并不会立即将这个失效路由项删除掉,而是为该失效路由项启用一个垃圾回收计时器
在垃圾回收计时器的值倒计为0之前,该路由器仍会在周期性的RIP应答包中携带这条失效路由的信息,其目的是告诉它的所有邻居这条路由对于自己来说已经失效,以便邻居路由器能够及时对各自的RIP路由表中的相应路由项进行更新
一旦垃圾回收计时器的值倒计为0,路由器就会将该失效路由项的所有信息(包括该路由项对应的失效计时器和垃圾回收计时器)立即删除掉
如果在垃圾回收计时器的值倒计为0之前的某一时刻,该失效路由项被更新为一条有效路由,则该路由项的失效计时器的值恢复成初始值并开始倒计时,而其垃圾回收计时器则会被删除掉
RIP周期更新
-
更新原因
-
基于UDP传输
-
RIP本身也没有可靠性机制
-
RIP本身没有保活机制
-
网络环路
-
依靠开销值
-
触发更新----一旦路由表中有任意路由项发生变化,则激活触发更新。
-
水平分割机制----从此口进,不从此口出。
-
毒性逆转-----将从某个接口进入的路由,在下一次从该接口发出时,开销值设置为16。
触发更新,除了可以避免大部分环路,实际最主要的作用是加快网络收敛速度
RIPv1 ----IPv4
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 1 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIPv2---使用-----IPv4
[r1]rip 1 ----启动RIP协议,进程号为1,仅具有本地意义
[r1-rip-1]version 2 ----选择版本一
[r1-rip-1]network 192.168.1.0 ---宣告,以网段进行宣告,且网段为主类!!!
激活接口
发布路由
RIP V1和RIP V2的区别:
RIP V1是有类别的动态路由协议,RIP V2是无类别的动态路由协议
有类别——传递路由信息过程中不传递子网掩码,只靠主类(IP地址的分类)进行区分
无类别——传递路由信息过程中可以传递子网掩码,支持VLSM、CIDR
RIP V1支持手工认证,RIP V2不支持手工认证
RIP V1不能对数据包进行加密,不能保证安全性
认证功能的作用是用来对付网络中的恶意路由器所发布的一些虚假或错误的路由信息
RIP V1采用广播发送自己的数据包,RIP V2采用组播更新发送自己的数据包
RIP V2使用一个永久的组播地址224.0.0.9定期发送路由更新,占用更少的设备处理资源
RIP扩展配置
-
手工汇总
-
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0 --在路由的发出接口配置
-
-
缺省路由-------这里指的是下发缺省路由。
-
[r3-rip-1]default-route originate
-
缺省路由的下发,一定是在边界路由上做。
-
且该配置仅会让其他RIP设备学习到RIP的缺省路由
-
-
静默接口----配置了静默接口的接口无法主动发送RIP数据包,只能被动接收RIP数据包。一般与用户相连的接口配置。
-
[r2-rip-1]silent-interface GigabitEthernet 0/0/2
-
当静默接口接收到RIP数据包时,会从静默状态转换为普通状态。
-
-
手工认证---用于路由器之间的身份核实。需要在双方身上均配置。---RIPv2
-
[r2-GigabitEthernet0/0/1]rip authentication-mode simple plain 123456
-
-
加速收敛----减少计时器时间
-
[r1-rip-1]timers rip 10 60 40
-
全网均需要修改。
-
ACL技术---访问控制列表
对于网络中的流量的一种处理方式,(放通、拒绝)。
ACL功能
-
访问控制
-
在设备的流入或流出接口上,匹配流量,然后执行设定的动作
-
允许---permit
-
拒绝---deny
-
-
抓取流量
-
ACL经常与其他协议共同使用。---所有动作均为允许。
-
ACL的匹配规则
自上而下、逐一匹配,若匹配成功则按照相应规则执行,不再向下匹配;若没有匹配上,则执行默认规则(在华为中,为允许所有)。
ACL组成
组成:由若干条permit或deny语句组成,每条语句就是一条规则
语句形式:rule permit source 192.168.1.0 0.0.0.255
rule deny source 172.16.0.0 0.0.255.255
手动指定:0、1、2、3、4、5……
自动生成:5、10、15…… 5的倍数
通配符:哪些位需要严格匹配,哪些位可以随意,0表示严格匹配,1表示随意匹配
ACL分类
-
基本ACL
-
基于IP报文的源IP地址定义规则。
-
编号:2000-2999
-
-
高级ACL
-
基于源目IP、IP报文协议字段、IP报文优先级、IP报文长度、TCP源目端口号、UDP源目端口等信息来定义规则。
-
编号:3000-3999
-
-
二层ACL
-
基于MAC地址来定义规则
-
编号:4000-4999
-
-
用户自定义ACL
示例
需求一
-
PC1可以访问192.168.2.0/24网段,而PC2不可以。
-
分析:
-
仅对源地址有要求,配置基本ACL
-
基本ACL配置规则----靠近目的进行配置。
-
-
配置
[r2]acl 2000 ----创建基本ACL列表
[r2-acl-basic-2000]rule permit source 192.168.1.253 0.0.0.0 ---创建规则
通配符----32位二进制,0代表不可变,1代表可变。
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 ---在0/0/1接口的出方向调用acl2000列表
一个接口的一个方向只能调用一张ACL列表。但是一张ACL列表可以在多个接口调用。
例1: 仅允许192.168.1.1通过 rule permit source 192.168.1.1 0.0.0.0 例2: 拒绝192.168.1.2和192.168.1.3通过 rule deny source 192.168.1.2 0.0.0.1 11000000.10101000.00000001.00000010 00000000.00000000.00000000.00000001 例3: 拒绝192.168.1.0/24网段中的所有单数IP地址通过。 rule deny source 192.168.1.1 0.0.0.254 11000000.10101000.00000001.00000001 00000000.00000000.00000000.11111110
[r2]display acl 2000 ---查看ACL列表
需求二
要求PC1可以访问PC3,但是不能访问PC4。
分析:对目标有要求,使用高级ACL;更靠近源。
[r1]acl 3000
[r1-acl-adv-3000]rule permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.253 0.0.0.0
[r1-acl-adv-3000]rule deny ip source 192.168.1.253 0.0.0.0 destination 192.168.2.252 0.0.0.0
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
需求三
要求:PC1可以ping通R2,但是不能telnet R2。
[r1]acl 3100
[r1-acl-adv-3100]rule permit icmp source 192.168.1.253 0 destination 2.2.2.2 0
[r1-acl-adv-3100]rule deny tcp source 192.168.1.253 0 destination 2.2.2.2 0 dest ination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter outbound acl 3100
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
