动态路由
-
静态路由:由网络管理员手工添加的路由条目
-
动态路由:所有路由器上运行相同的路由协议,之后,通过路由器之间的沟通,协商最终计算生成路由条目。
静态路由:
优点:
-
选路由管路员选择,相对更好管控,路径规划更合理。
-
不需要占用额外的资源
-
相对安全性更高
缺点:
-
在复杂的网络环境中,配置量较大
-
无法基于网络拓扑的变化而自动变化。 ---- 无法基于网络拓扑的变化而自动收敛。
动态路由:
优点:
-
配置简单,仅需在所有路由器上运行相同的路由协议即可。
-
可以基于网络拓扑结构的变化而自动收敛。
缺点:
-
动态路由选路由单一算法完成,选出的路径不一定是最佳路径,甚至可能出现环路。
-
因为动态路由路由器彼此之间需要进行数据包的交互,需要额外占用路由器的硬件资源及链路资源
-
因为动态路由路由器彼此之间需要进行数据包的交互,所以,可能更容易被利用,产生安全问题。
总结:
静态路由适用于小型简单的网络环境中
动态路由适用于较为复杂的网络环境
AS --- 自治系统 --- 将网络分块管理 --- 由单一机构或组织所管理的一系列IP网络及设备的集合
为了方便对AS进行管理,我们对AS分配一个编号 --- AS号 ---- 16位二进制构成 --- 0 - 65535 ---- 目前也有拓展版的AS号 --- 32位二进制构成
AS内部使用的路由协议 --- IGP -- 内部网关协议RIP,OSPF,IS-IS,EIGRP
AS之间使用的路由协议 --- EGP -- 外部网关协议BGP
IGP还可以根据算法进行分类
距离矢量型协议(DV):RIP
路由器之间直接发送路由条目信息。 --- 贝尔曼.福特算法
(Bellman-Ford),"依据传闻的路由协议"
链路状态型协议(LS):OSPF,IS-IS
发送的使链路状态信息(LSA --- 链路状态通告) --- SPF --
最短路径优先算法 --- 可以将图形结构转换为树形结构 --- 防止计算出的路径存在环路。
RIP
RIP将两台相邻的路由器,中间存在相同的广播域,可以通过广播的形式发送信息 --- 邻居关系
COST --- 开销值 --- 动态路由的选路依据 ---- 当动态路由到达同一个网段使,具有多条路径时,将选择开销值最小的一条。
不同协议之间选路使用优先级,相同协议之间选路使用开销值。
不同动态路由协议的开销值的度量标准不同,所以,不同动态路由协议之间的开销值没有可比性。
RIP是以跳数作为开销值的度量,RIP也支持等开销负载均衡
RIP存在15跳的工作半径限制,当一条路由的开销值为16时,则认为该路由不可达。
华为设备中RIP协议路由的默认优先级为:100
RIP数据包传递过程中携带的COST的算法 --- 本地路由表中该路由开销值+ 1
Bellman-Ford算法:
1,AR2将2.2.2.0/24路由信息发给R1,R1本地路由表中不存在该网段的路由信息,则将该网段的路由信息直接刷新到本地路由表中。
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 g0/0/0
AR2将2.2.2.0/24路由信息发给R1,R1本地路由表中存在该网段的路由信息,则看下一跳,如果本地路由表中的下一跳就是AR2。则将AR2发来的路由信息刷新到路由表中。
3,AR2将2.2.2.0/24路由信息发给R1,R1本地路由表中存在该网段的路由信息,则看下一跳,如果本地路由表中的下一跳不是AR2。则看开销值,如果本地路由表中的开销值大于AR2发来的开销值,则将AR2发来的信息刷 新到路由表中。
4,AR2将2.2.2.0/24路由信息发给R1,R1本地路由表中存在该网段的路由信息,则看下一跳,如果本地路由表中的下一跳不是AR2。则看开销值,如果本地路由表中的开销值小于AR2发来的开销值,则不刷新。
RIP --- RIPV1,RIPV2 ---- IPV4
RIPNG ----- IPV6
RIPV1和RIPV2的区别:
1,RIPV1是有类别的路由协议,RIPV2是无类别的路由协议;
RIPV1在发送目标网段信息时,不携带子网掩码;
RIPV2在发送目标网段信息时,携带子网掩码;
2,RIPV1不支持手工认证,RIPV2支持手工认证;
3,RIPV1采用广播的形式发送信息,RIPV2采用组播的形式发送信息;
RIP传输层使用的是UDP协议,使用的端口号是520端口
RIPNG ---- UDP 521
RIPV2的组播地址 --- 224.0.0.9
RIP的数据包
request包 ---- 请求包
response包 --- 应答包(更新包) --- 包含路由信息
RIP在收敛完成之后,依然每30S发送一个response包,我们把RIP的
这种行为称为RIP的周期更新。
RIP周期更新的原因:1,补偿自身没有确认机制
2,补偿自身没有保活机制
RIP的周期更新 --- 异步周期更新
RIP的计时器
更新计时器 --- 30S
无效计时器 --- 180S。路由条目刷新后启动一个180S的无效计器,若计时器时间结束路由未刷新,则将认为该路由不可达。之后该路由从本地的全局路由表中删除,并将其开销值改为16,保存在缓存中,之后,周期更新时依然会携带该路由信息 ---- 带毒传输
垃圾回收计时器 ---- 120S。无效计时器归0后开始计时,时间到则
将彻底删除失效路由,周期更新时也不再携带。
RIP的破环机制
-
触发更新 --- 当拓扑结构发生变化的时候,第一时间将变化信息传递出去
-
水平分割 --- 从哪个接口学到的信息,就不再从哪个接口发出去
-
毒性逆转 --- 从哪个接口学到的信息还从哪个接口发出去,但是,必须要带毒
因为毒性逆转和水平分割的做法相反,所以,不能同时使用,只能选择其中一个来使用。华为设备默认开启水平分割机制。如果同时开启两种机制,华为将按照毒性逆转的规则来执行。
RIP的基本配置
1,启动RIP进程
[r1]rip 1 --- 进程号,仅具有本地意义,用来区分本地多个RIP进程
[r1-rip-1]
2,选择RIP版本
[r1-rip-1]version 1
3,宣告
要求:1,所有直连网段都需要宣告
2,必须按照主类进行宣告
目的:1,激活接口 --- 只有激活的接口才可以收发RIP数据
2,发布路由 --- 只有激活的接口所对应的路由信息才能够被发布
[r1-rip-1]network 1.0.0.0
[r1]display rip 1 route --- 查看RIP的路由表
RIP的拓展配置
1,RIPV2的手工认证
[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual
plain 123456
2,RIPV2的手工汇总
[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0
255.255.254.0
3,沉默接口
针对连接用户的网段接口,让他们激活的同时只收不发RIP数据
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛 --- 减少计时器的时间
[r1-rip-1]timers rip 30 180 120
修改计时器时,计时器之间的倍数关系不能修改
5,缺省路由 --- 配置在边界路由器上,让内网路由器自动生成一条指向
边界方向的缺省路由。边界路由器的缺省路由必须手工配置
[r3-rip-1]default-route originate
ACL --- 访问控制列表
ACL的作用:
-
访问控制:在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作。 ---- permit 允许 , deny 拒绝
-
抓取感兴趣流:ACL可以和其他服务结合使用。ACL只负责匹配流量,其他服务则对匹配上的流量执行对应的动作。
ACL的匹配规则:自上而下,逐一匹配,如果匹配上,则按照对应的动作执行,不再向下匹配。
思科体系的设备:在ACL列表末尾隐含一条拒绝所有的规则
华为体系的设备:在ACL列表末尾隐含一条允许所有的规则
ACL列表的分类
基本ACL --- 仅关注数据包中的源IP地址
高级ACL --- 不仅关注数据包中的源IP地址,还会关注数据包中的目
标IP地址,以及协议和目标端口号
二层ACL
用户自定义ACL
需求一:PC1可以访问PC3和PC4,但是PC2不行
基本ACL的位置原则:因为基本ACL只关注数据包中的源IP地址,故调用时
尽可能的靠近目标,避免对其他地址访问造成误伤。
1,创建一张ACL列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current using
rules)
---- 基本ACL
INTEGER<3000-3999> Advanced access-list(add to current using
rules)
----- 高级ACL
INTEGER<4000-4999> Specify a L2 acl group
---- 二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]acl 2000
[r2-acl-basic-2000]
2,在ACL列表中添加规则
[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 ---
通配符 --- 0代表不可变,1代表可变 --- 通配符中0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2]display acl 2000
华为默认以5为步调,自动添加ACL的规则的序号。其目的在于匹配规
则是从上向下按顺序匹配,这样便于在其中插入规则。
[r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 自
定义序号添加规则
[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则
3,在接口上调用ACL列表
[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
注意:在一个接口的一个方向上,只能调用一张ACL列表。
需求二:要求PC1可以访问PC3,但是不能访问PC4
高级ACL的位置原则:因为高级ACL是精准匹配,不会造成误伤,所以,在调用时应该尽量靠近源目标,避免造成额外的链路资源浪费。
[r1]acl name aa 3000 --- 通过重命名的方式创建ACL列表
[r1-acl-adv-aa]
[r1-acl-adv-aa]rule deny ip source 192.168.1.2 0.0.0.0
destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name aa ---
通过重命名的方式调用ACL列表
需求三:要求PC1可以ping通R2,但是不能telnet R2
telnet --- 远程登录协议
带外管理 --- 通过console接口连接console线对设备进行控制
---- 通过miniUSB接口连接MINIUSB线对设备进行控制
带内管理 --- 通过telnet管理路由器
--- 通过web界面管理路由器
--- 通过SNMP协议进行设备管理
telnet进行管理的前提条件
-
登录设备和被登录设备之间网络必须是联通的
-
被登录设备必须开启telnet服务
telnet ---- C/S架构 --- 被登录设备充当telnet服务器的角色,登
录设备充当telnet客户端的角色。 ---- TCP 23
路由器开启telnet服务的方法:
1,在AAA中创建用户名
[r2]aaa ---- 进入aaa服务
[r2-aaa]
[r2-aaa]local-user aa privilege level 15 password cipher
123456
Info: Add a new user.
[r2-aaa] --- 创建用户名和密码
[r2-aaa]local-user aa service-type telnet --- 设置用户服务类
型
2,开启虚拟的登录端口
[r2]user-interface vty 0 4
[r2-ui-vty0-4]
[r2-ui-vty0-4]authentication-mode aaa
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0
destination 192.168.2.2 0.0.0.0 destination-port eq 23
VLAN
-
V --- 虚拟的
-
LAN --- 局域网 --- 地理覆盖范围较小的网络MAN --- 城域网
-
WAN --- 广域网
-
LAN --- 广播域
-
VLAN --- 虚拟局域网 --- 交换机和路由器协同工作后,将原来的一个广播域逻辑上切分为多个
第一步:创建VLAN
[Huawei]display vlan --- 查看交换机上的VLAN信息
VID --- vlan ID --- 区分和标定不同VLAN IEEE组织802.1Q标准 --- 12位二进制构成 --- 0 - 4095 其中,0和4095为保留号码,可以使用的取值范围为 1 - 4094
[Huawei]vlan 2 创建VLAN
[Huawei]vlan batch 4 to 100 批量创建VLAN
[Huawei]undo vlan batch 4 to 100 批量删除
第二步:将接口划入VLAN
VID配置映射到交换机的接口,实现VLAN范围的划分 物理VLAN/一层VLAN
VID配置映射到数据帧中的MAC地址,实现VLAN范围的划分 二层VLAN
数据帧中的类型字段标记着上层协议类型,和VID进行映射,则可以实现VLAN范围的划分 三层VLAN
交换机的转发原理:数据通过接口进入到交换机,交换机先看数据中的源MAC地址和接口的映射关系,顺便,将接口所对应的VID也进行记录。之 后,看目标MAC地址,若目标MAC地址在MAC地址表中有记录且记录中的VID 和源MAC对应的VID相同,则进行单播;否则,进行泛洪,泛洪范围为VID 和源MAC地址对应VID相同的接口。
为了区分不同VLAN的数据,我们可以在数据上增加标签
(TAG)。IEEE组织规定,在原数帧中源MAC地址和类型字段之间,增加4 个字节作为tag --- 包含12位VID。将符合这样要求的帧结构称为802.1Q 帧或tagged帧。将正常的帧结构称为untagged帧。
根据这个特性,我们将交换机和电脑之间的链路称为ACCESS链
路。ACCESS链路只能通过untagged帧,并且,这些帧只能属于某一种特定的VLAN。我们把交换机和交换机之间的链路称为trunk链路(trunk干
道),trunk干道中允许通过tagged帧,并且可以属于多个VLAN。第三步:配置trunk干道(sw - sw , sw - R)
第二步:将接口划入VLAN [Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access --- 选择链路类型
[Huawei-GigabitEthernet0/0/1]port default vlan 2 --- 设置链路中通过VLAN
[Huawei]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4
[Huawei-port-group] --- 将接口放入到接口组中
第三步:配置trunk干道[Huawei]int g 0/0/5
[Huawei-GigabitEthernet0/0/5]port link-type trunk [Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan ?
INTEGER<1-4094> VLAN ID
all All
[Huawei-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3
第四步:VLAN间路由 --- 单臂路由
子接口 --- 路由器的一种虚拟接口,将一个物理接口,逻辑上划分为多个虚拟接口
1,创建子接口[r1]int g 0/0/0.2
[r1-GigabitEthernet0/0/0.2]
2,配置子接口
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2 --- 定义子接口管理的VLAN
[r1-GigabitEthernet0/0/0.1]arp broadcast enable --- 开启ARP 广播
NAT
在IP地址空间中,A,B,C三类单播地址中,各有一部分地址,他们被称为私有地址(或私网IP地址),其余的都称为公有地址(公网IP地址)。
A:10.0.0.0 - 10.255.255.255 --- 相当于一个A类的网段B:172.16.0.0 - 172.31.255.255 --- 相当于16个B类的网段C:192.168.0.0 - 192.168.255.255 --- 相当于256个C类的网段
私网IP地址具有 ---- 可复用性 不允许私网IP地址在互联网使用
我们习惯将使用私网IP地址通讯的网络称为私网,并且私网IP地址在私网内部需要保证唯一性,使用公网IP地址通讯的网络称为公网。
NAT --- 网络地址转换 他的基本作用就是实现私网IP地址和公网IP地址之间的转换。
华为设备所有NAT相关配置,都是在边界路由器的出接口上配置。静态NAT动态NAT NAPT端口映射
静态NAT 一对一NAT
静态NAT简单来说,就是通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表反应了公网IP地址和私网IP 地址之间一一对应的映射关系。
静态NAT配置
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
-
必须属于公网IP地址网段中的一个
-
必须是花钱从运营商处买来的地址
这个地址我们称为 --- 漂浮地址 当通过ARP请求一个漂浮地址
时,他将返回其对应物理接口的MAC地址。
[r2]display nat static --- 查看静态地址映射表
动态NAT --- 多对多动态NAT的配置
1,创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8 公网IP地址必须是连续的并且是经过ISP授权的。
2,利用ACL抓取感兴趣流[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat
注意:动态NAT需要加no - pat
动态NAT在同一时间内其实也是一个一对一的NAT,当上网流量过大时,将会造成延迟升高的现象。
NAPT ---- 网络地址端口映射 --- PAT
可以实现一个公网IP地址对应多个私网IP地址的效果,最多同一时间允许通过65535个数据包。 ---- 一对多的NAT ---- EASY IP
NAPT也可以实现多对多的NAT,每一个公网IP地址同一时间都可以通过65535个数据包。
EASY IP 配置
1,利用ACL抓取感兴趣流[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2,在接口上配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
多对多的NAPT配置1,创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8 公网IP地址必须是连续的并且是经过ISP授权的。
2,利用ACL抓取感兴趣流[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3,将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0
端口映射
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80
8119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
