HCIA课程课后笔记06

动静态路由的优缺点

静态路由:由网络管理员手写的路由条目。

动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器之间的沟通,协商最终计算生成的路由条目。

静态路由

优点&＃xff1a;

1. 选路由管理员选择,相对更容易掌控
2. 不需要占用额外的资源
3. 更加安全

缺点&＃xff1a;

1. 在复杂的网络环境中,配置量较大
2. 一旦网络结构发生变化,静态路由不能基于拓扑的变化而变化(不能基于拓扑的变化而自动收敛)

动态路由

优点&＃xff1a;

1. 可以基于拓扑的变化而自动收敛
2. 部署简单,仅需在所有路由器上运行相同的路由协议即可

缺点&＃xff1a;

1. 路径由单一算法计算得出,不一定是最优路径,甚至可能出现环路
2. 会额外占用路由器硬件资源和链路带宽资源
3. 因为设备之间存在信息传递,所以,比较容易被利用产生安全问题

总结&＃xff1a;

1. 静态路由适合小型简单的网络环境
2. 动态路由设用于复杂的网络环境中

• AS—自治系统–将网络分块管理-由单一的机构或组织所管理的一些列IP网络及其设备所构成的集合
• AS的管理–AS存在编号–由16位二进制构成(0-65535)—现在也有拓展版的AS编号–32位二进制构成

AS的通信

• As内部通信所使用的协议-IGP(内部网关协议)—RIP,OSPF,is-is, eigrp等
• AS之间的通信协议—EGP(外部网关协议) --BGP

IGP根据算法进行分类

• 距离矢量型协议(DV) — 路由器之间直接发送路由条目信息。—使用的算法:贝尔曼-福特算法( Bellman-Ford算法) —“依据传闻的路由协议”— RIP

• 链路状态型协议(LsS) — 链路状态信息(LSA — 链路状态通告) — 使用的算法:SPF算法 — 将图形结构转换为树形结构–OSPF,IS-IS

RIP — 路由信息协议

• 邻居 — 相邻的两个路由器,可以直接通过直连网段进行通信
• Destination/Mask,度量值( Metric) — 开销值(Cost) — 动态路由重要的选路依据
• 开销值&＃xff1a;当动态路由计算岀多条到达相同网段的路径时&＃xff0c;将比较他们的开销值&＃xff0c;会选择开销值最小的加入到路由表中。
• 不同协议之间&＃xff0c;比较优先级&＃xff1b;相同协议之间&＃xff0c;比较开销值。
• 不同路由协议之间&＃xff0c;他们的开销值的度量标准是不一样的&＃xff0c;不同协议的开销值没有可比性。
• RIP是以跳数作为开销度量的
• RIP支持等开销负载均衡
• RIP的默认优先级 — 100(华为中定义的)
• RIP存在一个工作半径 — 15跳。当RIP收到—个目标网段路由的开销值为16跳的时候&＃xff0c;则认为该网段不可达。
• RIP在传递路由条目的数据包中所携带的COST&＃61;本地路由表中该网段的开销值&＃43;1

Bellman-Ford算法

1. AR1收到AR发送的2.2.2.0/24网段的路由信息&＃xff0c;但是AR1本地路由表中没有这条网段的路由信息&＃xff1b;则直接将该路由刷新到AR1的路由表中
   Destination/Mask Proto Pre Cost Flags NextHop Interface
   2.2.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0

2. AR1收到AR2发送的2.2.2.0/24网段的路由信息&＃xff0c;但是AR1本地路由表中有这条网段的路由信息&＃xff1b;则看下一跳&＃xff0c;本地路由表中的下一跳就是AR2&＃xff1b;这种情况下将直接将R2发送的路由信息刷新到路由表中。

3. AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是AR1本地路由表中有这条网段的路由信息&＃xff1b;则看下一跳&＃xff0c;本地路由表中的下一跳不是AR2&＃xff0c;则比较开销值。若本地的开销值大于AR发来的路由的开销值&＃xff1b;则将AR2发的路由信息刷新到路由表中。

4. AR1收到AR2发送的2.2.2.0/24网段的路由信息&＃xff0c;但是AR1本地路由表中有这条网段的路由信息;则看下一跳&＃xff0c;本地路由表中的下一跳不是AR2&＃xff0c;则比较开销值。若本地的开销值小于AR2发来的路由的开销值;则不刷新AR2发送的路由信息。

RIP的版本

• 一共存在3个版本 — RIPV1&＃xff0c;RPV2&＃xff0c;RIPNG
• RIPV1&＃xff0c;RIPV2 — IPV4
• RIPNG — IPV6

RIPV1和RIPV2的区别

1. V1是有类别的路由协议&＃xff0c;V2是无类别的路由协议
   V1在发送目标网段信息时&＃xff0c;不携带子网掩码&＃xff1b;
   V2在发送目标网段信息时&＃xff0c;携带子网掩码。

2. Ⅵ1不支持手工认证&＃xff0c;Ⅴ2支持手工认证 — 通过相同的口令完成身份认证

3. V1采用广播的形式发送信息&＃xff1b;V2是通过组播的形式发送信息; — 2240.0.9
   RIP传输层使用的是UDP协议,通信端口为520端口。

RIP的数据包

• ​ request — 请求包

• ​ response — 响应包(包含路由信息) — 更新包

RIP在收敛完成之后&＃xff0c;依然会每隔30发送一个 response ---- RIP的周期更新

1. 弥补RP自身没有确认机制
2. 弥补RP自身没有保活机制

RIP的周期更新–异步周期更新

RIP的计时器

1. 周期更新计时器 — 30S
2. 无效计时器 — 180S — 路由条目刷新后将启动一个180S的无效计时器&＃xff0c;若计时器结束路由未刷新&＃xff0c;则认为路由不可达。则将该路由从全局路由表中删除掉&＃xff0c;并将该路由条目的开销值改为16。并且将其存放在缓存当中&＃xff0c;之后周期更新的时候依然会携带。— 带毒传输
3. 垃圾回收计时器 — 120S — 无效计时器归0后&＃xff0c;开始计时&＃xff0c;120S时间到则将彻底删除该路由。更新时也不再发送。

RIP的破环机制

1. 触发更新 — 当网络拓扑结构发生变化时&＃xff0c;第一时间将变化信息传递出去。

2. 水平分割 — 从哪个接口学来的不再从哪个接口发出去。

3. 毒性逆转 — 从哪个接口学来的还从哪个接口发岀去&＃xff0c;但是要带毒。

因为毒性逆转和水平分割做法矛盾&＃xff0c;所以只能二选其一。华为设备默认开启水平分割&＃xff0c;但如果水平分割和毒性逆转同时开启时&＃xff0c;华为设备将按照毒性逆转的规则来执行。

RIP的配置

1、启动RIP进程

[r1]rip 1 --- 仅具有本地意义,区分多个R|P进程使用(如果不带进程号&＃xff0c;默认进入进程1&＃xff09;
[r1-rip-1]


2、选择RP的版本

[rl-rip-1]version 1


3、宣告

宣告的要求:

1. 所有直连网段都需要宣告
2. 必须按照主类宣告

[r1-rip-1]network 1.0.0.0


宣告的目的&＃xff1a;

1. 激活接口 — 只有激活的接口才可以收发RP的数据包
2. 发布路由 — 只有激活的接口所对应的网段的路由信息才能发布岀去

[r1]display rip1 route --- 查看RIP的路由表


RIP的拓展配置

1、RIPV2的手工认证

[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456


2、RIPV2的手工汇总

[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0


3、沉默接口

[r1-rip-1]silent-interface GigabitEthernet 0/0/1


4、加快收敛–修改计时器

[r1-rip-1]timers rip 30 180 120 --- 修改计时器时不能修改他们的倍数关系


5、缺省路由

[r3-rip-1]default-route originate


ACL — 访问控制列表 — 策略

• 配置了ACL的网络设备根据事先设定好的报文匹配规则&＃xff0c;对经过该设备的流量按照规则进行匹配&＃xff0c;对匹配上的流量执行设定好的动作。

ACL的功能

1. 访问控制&＃xff1a;在路由器流量流入或者流岀的接口上&＃xff0c;匹配流量&＃xff0c;然后执行设定好的动作。— permit(允许)/deny(拒绝)

2. 抓取感兴趣流&＃xff1a;AC和其他服务结合使用&＃xff0c;ACL负责匹配对应的流量&＃xff0c;而其他的服务对匹配到的流量执行相应的动作。(流量控制 — ACL和Qos — 服务质量技术)

ACL控制列表的匹配规则

• 自上而下逐一匹配&＃xff0c;匹配上&＃xff0c;则按照对应的动作执行&＃xff0c;不再向下匹配。

思科体系的设备&＃xff0c;在AC访问列表的未尾隐含了一条拒绝所有的规则。
华为体系的设备&＃xff0c;在ACL访问列表的未尾隐含了一条允许所有的规则。

ACL的分类

• 基本ACL:仅关注数据包中的源IP。(只看你是谁&＃xff09;
• 高级ACL:除了关注数据包中的源P以外,还会关注数据包中的目标P,及协议和端口号。(不光看你是谁,还要看你去哪&＃xff0c;去干嘛)
• 二层ACL&＃xff1a;
• 用户自定义ACL&＃xff1a;

需求一&＃xff1a;PC1可以可以访问3.0网段&＃xff0c;但是PC2不行。

• 基础ACL的位置原则&＃xff1a;由于基础ACL仅关注数据包中的源IP地址&＃xff0c;故调用时应尽量靠近目标&＃xff0c;避免对其他地址访问误伤

ACL配置

1、创建ACL列表

[r2]acI &＃xff1f; INTEGER<2000-2999> Basic access-list(add to current using rules&＃xff09;---基础ACL编号范围INTEGER<3000-3999> Advanced access-list(add to current using rules&＃xff09;--- 高级ACL编号范围INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL编号范围ipv6 ACL ipv6name Specify a named aclnumber Specify a numbered Acl
[r2]acl 2000


2、在ACL列表中添加规则

[r2-acl- basic-2000] rule deny source 192.168.1.3 0.0.0.0--通配符-0对应位不可变,1对应位可变。0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2] display acl 2000 --- 查看ACL列表
[r2-acl- basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 通过序号来添加规则
[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则华为默认以5为步调自动添加规则序号,其目的时为了方便在中间插入规则。


3、接口上调用ACL列表

[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000切记&＃xff1a;一个接口的一个方向上只能调用一张ACL列表。


• 需求二:要求PC1可以ping通PC3,但是不能ping通PC4
• 高级ACL的位置原则&＃xff1a;由于高级ACL对流量进行精确匹配&＃xff0c;可以避免误伤&＃xff0c;所以调用时应尽量靠近源&＃xff0c;减少锤路资源的浪费。

[r1]acI name xuqiu2 3000 --- 通过重命名的方式创建ACL列表
[r1-acl-adv-xugiu2]
[r1-acl-adv-xugiu2]rule deny icmp source 192. 168.. 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 ---重命名的方式调用ACL列表