静态路由:由网络管理员手写的路由条目。
动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器之间的沟通,协商最终计算生成的路由条目。
静态路由
优点:
1,选录由由管理员选择,相对更容易掌控
2,不需要占用额外的资源
3,更加安全
缺点:
1,在复杂的网络环境中,配置量较大
2,一旦网络结构发生变化,静态路由不能基于拓扑的变化而变化(收敛---不能基于拓扑的变化而自动收敛)
动态路由
优点:
1,可以基于拓扑的变化而自动收敛
2,部署简单,仅需在所有路由器上运行相同的路由协议即可
缺点:
1,路径由单一算法得出,不一定是最优路径,甚至可能出现环路
2,会额外占用路由器硬件资源和链路带宽资源
3,因为设备之间存在信息传递,所以,比较容易被利用产生安全问题
总结:
1,静态路由适合小型简单的网络环境
2,动态路由设用于复杂的网络环境中
AS
AS---自治系统---将网路分块管理---由单一的机构或组织所管理的一系列IP网络及其设备所构成的集合
AS的管理----AS存在编号---由16位二进制构成(0-65535)---现在也有拓展版的AS编号---32位二进制构成
AS的通信:
AS内部通信所使用的协议---IGP(内部网关协议) ---RIP,OSPF,is-is,eigrp等
AS之间的通信协议---EGP(外部网关协议)---BGP
IGP根据算法进行分类
距离矢量型协议(DV) --- 路由器之间直接发送路由条目信息。 ---使用的算法:贝尔曼-福特算法(Bellman-Ford算法) --- “依据传闻的理由协议” --- RIP
链路状态型协议(LS) ---链路状态信息(LSA --- 链路状态通告) ---使用的算法:SPF算法 ---将图形结构转换为树形结构 --- OSPF,IS-IS
RIP ---路由信息协议
邻居 ---相邻的两个路由器,可以直接通过网段进行通信
Destination/Mask,度量值(Metric)在华为体系中叫 开销值(Cost) ---动态路由重要的选路依据
开销值:当动态路由计算出多条到达相同网段的路径时,将比较他们的开销值,会选择开销值最小的加入到路由表中。
不同协议之间,比较优先级;相同 协议之间,比较开销值。
不同路由协议之间,他们的开销值的度量标准是不一样的,不同协议的开销值没有可比性。
RIP是以跳数作为开销度量的
RIP支持等开销负载均衡
RIP的默认优先级 --- 100 (华为中定义的)
RIP存在一个工作半径 --- 15跳。当RIP收到一个目标网段路由的开销值为16跳的时候,则认为该网段不可达。
RIP在传递路由条目的数据包中所携带的cost = 本地路由表中该网段的开销值 + 1.
Bellman-Ford算法
1.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中没有这条网段的路由信息;则直接将该路由刷新到AR1的路由表中。
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 G 0/0/0
2.AR1收到AR2发送的2.2.2.0/24 网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息;则看下一跳,本地路由表中的下一跳就是AR2,这种情况下将直接将R2发送的路由信息刷新到路由表中。
3.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息;则看下一跳,本地路由表中的下一跳不是AR2,则比较开销值。若本地的开销值大于AR2发来的路由的开销值;则将AR2发的路由信息刷新到路由表中。
4.AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是,AR1本地路由表中有这条网段的路由信息;则看下一跳,本地路由表中的下一跳不是AR2,则比较开销值。若本地的开销值小于AR2发来的路由的开销值;则不刷新AR2发送的路由信息。
RIP的版本
一共存在3个版本---RIPV1,RIPV2,RIPNG
RIPV1,RIPV2 --- IPV4
RIPNG --- IPV6
RIPV1和RIPV2的区别
-
v1是有类别的路由协议,v2是无类别的路由协议
v1在发送目标网段信息时,不携带子网掩码;
v2在发送目标网段信息时,携带子网掩码。
-
v1不支持手工认证,v2支持手工认证 --- 通过相同的口令完成身份认证
-
v1采用广播的形式发送信息;v2是通过组播的形式发送信息;---224.0.0.9
RIP传输层使用的是UDP协议,通信端口为520端口。
RIP的数据包
request --- 请求包
response --- 响应包(包含路由信息)--- 更新包
RIP在收敛完成之后,依然会每隔30s发送一个response ---RIP的周期更新
1.弥补RIP自身没有确认机制
2.弥补RIP自身没有保活机制
RIP的周期更新 --异步周期更新
?
RIP的计时器?
1,周期更新计时器 -- 30S?
2,无效计时器---180S---路由条目刷新后将启动一个180S的无效计时器,若计时器结束路由未刷新,则认为路由不可达。则将该路由从全局路由表中删除掉,并将该路由条目的开销值改为16。并且将其存放在缓存当中,之后周期更新的时候依然会携带。 ----带毒传输?
3,垃圾回收计时器 ---120S---无效计时器归0后,开始计时,120S时间到则将彻底删除该路由。更新时也不再发送。?
RIP的破环机制
1,触发更新 ---当网络拓扑结构发生变化时,第一时间将变化信息传递出去
2,水平分割---从哪个接口学来的不再从哪个接口发出去 3,毒性逆转 ---从哪个接口学来的还从哪个接口发出去,但是要带毒。
因为毒性逆转和水平分割做法矛盾,所以只能二选其一。华为设备默认开启水平分割,但如果水平分割和毒性逆转同时开启,华为设备将按照毒性逆转的规则来执行。
RIP的配置
1,启动RIP进程 [r1]rip1 ---- 仅具有本地意义,区分多个RIP进程使用(如果不带进程号,默认进入进程1)
[r1-rip-1]
2,选择RIP的版本
[r1-rip-1]version 1
3,宣告 宣告的要求∶1,所有直连网段都需要宣告 2,必须按照主类宣告 [r1-rip-1]network 1.0.0.0
宣告的目的 1,激活接口--- 只有激活的接口才可以收发RIP的数据包 2,发布路由---只有激活的接口所对应的网段的路由信息才能发布出去
[r1]display rip 1 route ---查看RIP的路由表
RIP的拓展配置
1,RIPV2的手工认证 [r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456 (前两个要一样,最后一个都可以)
2,RIPV2的手工汇总 [r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0255.255.254.0
3,沉默接口 [r1-rip-1]silent-interface GigabitEthernet 0/O/1
4,加快收敛---修改计时器 [r1-rip-1]timers rip 30 180120 ----修改计时器时不能修改他们的倍数关系
5,缺省路由 [r3-rip-1]default-route originate
ACL
ACL---访问控制列表---策略 配置了ACL的网络设备根据事先设定好的报文匹配规则,对经过该设备的流量按照规则进行匹配.对匹配.上的流量执行设定好的动作。
ACL的功能
1,访问控制∶在路由器流量流入或者流出的接口上,匹配流量,然后执行设定好的动作。- permit (允许);deny(拒绝) 2,抓取感兴趣流∶ACL和其他服务结合使用,ACL负责匹配对应的流量,而其他的服务对匹配到的流量执行相应的动作。(流量控制 ---- ACL和Qos--服务质量技术)
ACL控制列表的匹配规则 自上而下逐一匹配,匹配上,则按照对应的动作执行,不再向下匹配。 思科体系的设备,在ACL访问列表的末尾隐含了一条拒绝所有的规则
华为体系的设备,在ACL访问列表的末尾隐含了一条允许所有的规则
ACL的分类 基本ACL∶仅关注数据包中的源IP。(只看你是谁) 高级ACL∶除了关注数据包中的源IP以外,还会关注数据包中的目标IP,及协议和端口号。(不光看你是谁,还要看你去哪,去干嘛)
二层ACL
用户自定义ACL
例:
需求一∶PC1可以可以访问3.0网段,但是PC2不行 基础ACL的位置原则∶由于基础ACL仅关注数据包中的源IP地址,故调用时应尽量靠近目标,避免对其他地址访问误伤
1,创建 ACL列表
[r2]acl ? INTEGER<2000-2999> Basic access-list(add to current using rules) -— 基础ACL编号范围 INTEGER<3000-3999> Advanced access-list(add to current using rules)---高级ACL编号范围
INTEGER<4000-4999> Speci fy a L2 acl group ---- 二层ACL编号范围 ipv6 ACL IPv6
name Speci fy a named ACL number Speci fy a numbered ACL [r2]acl 2000
2,在ACL列表中添加规则 [r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0---通配符-- 0对应位不可变,1对应位可变。0和1可以穿插使用 [r2-acl-basic-2000]rule permit source any -- 允许所有
[r2]display acl 2000 -- 查看ACL列表 [r2-acl-basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 —-- 通过序号来添加规则 [r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则 华为默认以5为步调自动添加规则序号,其目的时为了方便在中间插入规则。
3,接口上调用ACL列表 [r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 切记∶一个接口的一个方向上只能调用一张ACL列表。
需求二∶要求PC1可以ping通PC3,但是不能ping通PC4。 高级ACL的位置原则;由于高级ACL对流量进行精确匹配,可以避免误伤,所以,调用时应尽量靠近源,减少链路资源的浪费。 [r1]aclname xuqiu2 3000 ---- 通过重命名的方式创建ACL列表
[r1-acl-adv-xuqiu2] [r1-acl-adv-xuqiu2]rule deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0 [r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 --通过重命名的方式调用ACL列表
需求三∶要求PC1可以ping通R2,但是不能telnet R2
telnet -- 远程登录协议
带内管理 --- 通过网络对设备进行管理控制 通过telnet/SSH管理设备
通过web进行设备管理
通过SNMP协议进行设备管理 带外管理 --- 不需要通过网络对设备进行管理控制 ? 通过console口进行管理
通过AUX接口进行管理
telnet实现远程登录的两个必要条件 1,登陆设备和被登录设备网络可达
2,被登录设备必须开启telnet服务
telnet -— 典型C/S架构的协议。登录设备扮演telnet客户端的角色,被登录设备扮演telnet服务器的角色。 --- TCP 23
路由器开启telnet服务的方法
1,进入aaa服务
[r2]asa---- 专门存储和管理账号的地方
[r2-aaa] 2,创建登录用的用 户名和密码 [r2-aaa]local-user admin privilege level 15 password cipher 123456
[r2-aa] 3,定义该用户所对应的服务 [r2-aaa]local-user admin service-type telnet
4,开启虚拟的登录端口 [2]user-interface vty 0 4 -—-- 同时开启5个虚拟的登录端口
[r2-ui-vty0-4]
5,定义登录认证模式 [r2-ui-vtyO-4]authentication-mode aaa
[r1-acl-adv-3000]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
[r1-GigabitEthernetO/0/0]traffic-filter inbound acl 3000