RIP的路由控制
优先级
[r1-rip-1]preference 150 — 修改RIP默认优先级
开销值
因为RIP存在15跳的跳数限制,所以,RIP在进行开销值修改时,不允
许将开销值改小,只能改大。
修改分为
出方向修改 — 影响他人 — 修改的开销值实际上是传递
中开销值的增加量(增加量默认是1)
[r2-GigabitEthernet0/0/0]rip metricout 10
入方向修改 — 影响自身 — 修改的开销值将直接加到本
地路由表的开销值中
[r1-GigabitEthernet0/0/0]rip metricin 2
精确控制开销
1,创建ACL列表抓取路由信息
- [r2]acl 2000
- [r2-acl-basic-2000]
- [r2-acl-basic-2000]rule permit source 4.4.4.0 0
2,在接口上修改开销值
- [r2-GigabitEthernet0/0/0]rip metricout 2000 10 — 出方向修改
- [r1-GigabitEthernet0/0/0]rip metricin 2000 2 — 入方向修改
路由过滤 — 也属于路由控制的一种
**Filter - policy — 过滤列表 **
也分为出方向修改(影响他人)和入方向修改(影响自身)
1,ACL列表抓取路由信息
[r2]acl 2001
[r2-acl-basic-2001]rule deny source 4.4.4.0 0 — 因为过滤列表本身没有过滤能力,所以,必须使 用ACL列表的过滤功 能完成过滤
[r2-acl-basic-2001]rule permit source any — 因为华为ACL列表默认对未匹配的流量不做处理, 所以,需要添加规则放通剩余流量。
2,进入RIP进程中调用过滤列表
[r2-rip-1]filter-policy 2001 export GigabitEthernet 0/0/0 — 出方向过滤
[r1-rip-1]filter-policy 2001 import — 入方向的过滤
RIP的单播邻居
[r1-rip-1]peer 10.0.0.2 — 邻居双方都需要配置
配置单播邻居后,RIP在周期更新时会同时发送单播数据包和组播(广播)数据包。
**沉默接口 **
1,可以使这个接口只收不发RIP数据
2,沉默接口的第一个效果只针对组播和广播包生效
网络类型 — 根据数据链路层所运行的协议及规则来划分
- P2P — 点到点网络
- MA — 多点接入网络
— BMA — 广播型多点接入网络
— NBMA — 非广播型多点接入网络
**数据链路层协议 **
以太网协议 — 以太网在封装数据帧时需要加入源MAC和目标MAC地址。
原因:因为以太网所组建的二层网络中可以包含多个(两个或两个以上)接口,,每个接口之间 都可以通过交互以太网帧的形式实现二层通讯。— BMA
只能存在两个设备的网络可以不需要MAC地址也能正常通讯。 ---- P2P
串线 — T1 — 1.544Mbps
E1 — 2.048Mbps
以太网 ---- 频分 — 所谓频分,就是在一根铜丝上同时发送不同频段的数据而互不干扰。实现数据 的并行发送
1,HDLC
2,PPP
HDLC ---- 一种专门应用在串线网络中协议 — 高级数据链路控制协议
标准的HDLC:ISO组织颁布的HDLC(根据SDLC协议改进而来)标准非标的HDLC:各个厂商根 据ISO的HDLC协议改进而来
[r1]display interface Serial 4/0/0 — 查看接口的二层特性
串口在物理连线正常连接且二层使用相同的协议,则接口双UP
[r1-Serial4/0/0]link-protocol hdlc — 修改接口二层的协议类型
PPP — 点到点协议 — 应在串线网络中的协议
1,PPP协议有统一的标准,具有很强的兼容性,并且,任何只要支持全双工模式的串行接口都可 以使用PPP协议。
2,PPP协议的可移植性型比较强 — PPPoE
3,PPP协议可以进行认证和授权
通讯方式
- 单工
- 半双工
- 全双工
PPP协议类似于TCP协议,在数据传输之前,也需要创建PPP会话。
1,链路建立阶段 — LCP建立
2,认证阶段 — PPP的认证 ---- 可选项
3,网络层协议协商阶段 — NCP协商
PPP协议存在一系列的附属协议(成员协议)
- LCP协议 — 链路控制协议
- NCP协议 — 网络控制协议 — NCP是一系列的协议,针对网络层使 用的协议不同,会存在对应的NCP协议。 — IPCP — 网络层使用IP协议时使用的NCP协议。
F — flag ---- 01111110 ---- 前后各存在一个,如果数据部分中出现同样的字段,则需要进行转义操作。
A — Address — 11111111 — 固定由8位1填充
C — control — 00000011
协议 — 上层使用的协议类型
FCS — 帧校验序列 — 校验数据帧的完整性
1,链路建立阶段 — LCP建立
主要作用是通过LCP协议来协商链路建立时的一些基本且重要的参数。
MRU — PPP帧中数据部分允许携带的最大数据长度 ---- 字节 — 1500
确认是否进行认证以及如何进行认证
2,认证阶段 — 一般PPP认证是通过调用AAA来完成认证的
PPP在进行认证时,可以实现单向认证也可以实现双向认证
PAP ---- 密码认证协议 — 被认证方将用户名和密码通过明文形式 发送给认证方,对方回复ACK 则表示认证成功,回复NAK则表示认证失败
CHAP — 挑战握手协议 ---- 安全性更高,在认证中传递的不是明
文信息,而是通过比对摘要值的方式来进行认证。
摘要值 — 通过HASH算法(散列函数)计算出来的 ---- 可以将任
意长度的输入转换成固定长度的输出
- 相同输入,相同输出
- 不可逆性
- 雪崩效应
MD5 — HASH算法的一种,可以将任意长度的输入转换为128位的输出。
3,NCP协商阶段 — 通过NCP协议来完成对网络层参数的协商 — 如果
网络层使用的是IP协议,则将使用IPCP协议来完成NCP协商
IPCP协议主要协商两个参数 — 1,IP报文的压缩格式;2,IP地址IPCP在协商IP地址的过程中,他会学习对方的主机路由。
IPCP在NCP协商中可以实现IP地址的分配
获取IP地址方:
[r1-Serial4/0/0]ip address ppp-negotiate
给予方:
[r2-Serial4/0/0]remote address 10.0.0.1
认证配置:
认证方配置:
- [r1-aaa]local-user admin password cipher 123456
- [r1-aaa]local-user admin service-type ppp
- [r1-Serial4/0/0]ppp authentication-mode pap — 选择PAP认证
- [r1-Serial4/0/0]ppp authentication-mode chap — 选择CHAP认证
被认证方配置:
- [r2-Serial4/0/0]ppp pap local-user admin password cipher 123456 — PAP
- [r1-Serial4/0/0]ppp chap user admin
- [r1-Serial4/0/0]ppp chap password cipher 123456 ---- CHAP
**PPP的会话是一次性会话 **
GRE,MGRE
通过物理专线 — 实际上的问题 — 1,成本高;2,出差人员位置不固定
通过NAT技术进行访问 — 相当于将内网服务器开放到公网中 — 不安全
VPN ---- 虚拟专用网 — 可以理解为是一条虚拟的专线
VPN的核心技术 — 隧道技术 ---- GRE就是一种隧道技术
GRE — 通用路由封装
我们希望的封装方式:
SIP:192.168.1.1 | DIP:192.168.2.1 | 数据 |
---|
真实的封装
SIP:12.0.0.1 | DIP:23.0.0.2 | 数据 |
---|
加入GRE之后的封装
SIP: 12.0.0.1 | DIP: 23.0.0.2 | GRE | SIP: 192.168.1.1 | DIP: 192.168.2.1 | 数据 |
---|
隧道技术 — 在隧道的两端通过封装技术及解封装技术在公网上建立一条数据通道,使用这条通道来传输数据 — 注意,隧道建立之后,两边的私网将变成一个,所以,在一开始分配网段时,要注意避免冲突。
GRE的配置
1,创建隧道接口
[r1]interface Tunnel 0/0/0
[r1-Tunnel0/0/0]
2,配置隧道接口IP地址 — 隧道需要配置独立的私网网段
[r1-Tunnel0/0/0]ip address 192.168.3.1 24
3,定义封装类型
[r1-Tunnel0/0/0]tunnel-protocol gre
4,定义封装内容
[r1-Tunnel0/0/0]source 12.0.0.1
[r1-Tunnel0/0/0]destination 23.0.0.2
GRE — 实际上搭建的是一个点到点的隧道,其最明显的问题就是拓展性较差,当存在多个私网需要连接时,使用GRE的话需要两两之间建立隧道,最好可以使用类似MA网络的方式进行连接 — MGRE — 多点通用路由封装协议
NHRP — 下一跳解析协议
原理:需要在私网中选一个出口物理IP不会变的作为NHS — 下一条解析服务器,剩下的分支都知道中心的隧道IP和物理IP,然后,NHRP要求所有分支将自己物理接口的IP地址和隧道IP发给NHS。(如果变化,则重新发送)。这样,NHS就会获得所有分支地址的映射关系,记录在本地。之后,中心需要发消息时,可以直接查看记录的表进行发送。如果分支之间需要通信,则需要先将数据包发送中心,由中心转发。 — hub-spoke架构