路由器功能
域内路由协议:rip rip2 ospf eigrp
域外路由协议:bgp
处于网络层可以进行数据转发和路由寻址可以维护路由表路由之间交换信息
原理:如果路由里含有目的地址---则直接转发 若没有-----检查有没有默认路由----有转发给默认路由----没有默认则丢弃
先开启接口--默认不开启---no shutdown
Int lookdack 1------做环回测试 相当于添加一台不加网关的pc
路由过滤:
Clear ip route*
静态路由配置---成本低,路由器负载小--不适合大型网络 太繁杂
配置命令:
IP route +目的网络号+子网掩码+出接口或者下一个与之相连路由器接口ip
静态汇总路由--即将几个子网汇总在添加网段时就用汇总ip
静态默认路由--即0.0.0.0 0.0.0.0 当不知下一个目标网络号时采用
选择静态路由--即实现负载均衡--添加多条路径
浮动静态路由--设置优先级 静态路由默认为1
动态路由rip配置--距离向量路由--使用跳数(最大15跳)--默认30s更新--优先级默认120--触发更新--使用udp520端口
问题:产生路由环路--解决办法:水平分割,毒性逆转,定义最大跳数,抑制计时器,触发更新
1. 水平分割(从本接口收到的路由条目,不能再从本接口发送出去)
2.最大16跳(若RIP的路由条目跳数达到16跳,则此路由失效并且被丢弃。因为RIP只能支持路径为16跳的网络,最大有效为15跳)
3. 路由中毒(路由毒化,若RIP的路由条目发生故障时,会将此路由标记为16跳,并发送给邻居,告知邻居此路由有问题,尽快删除)
4. 毒性逆转(若RIP的路由条目发送故障时,会将此路由标记为16跳,并发送给邻居,邻居会返回16跳的中毒路由,实现确认)
5. 抑制计时器(180s),(当收到故障路由之后,默认会直接删除本故障路由;若此时从远方又收到此路由,则有可能造成再一次的环路;为了解决这个问题,设置抑制计时器,当收到故障路由之后,保持180s之后再删除路由条目。)
Rip1--不携带子网信息--不提供认证服务--采用广播更新--不支持vlsm组网和cidr--有类路由协议(a b c)
Rip2--携带子网信息-提供明文认证和md5认证--采用组播更新--支持vlsm和cidr---无类路由协议
配置命令:
route rip
Ver 1------不写命令默认为版本1
Ver 2-----修改为版本2----no auto-summary(关闭自动汇总功能)
Network + 与该路由器直连网段网络号
1. R1和R2兼容问题------int f0/x(进入相连接口)----IP rip send receive ver 1or2----允许通过这个接口发送更新信息
2. 运行禁止发送更新信息命令,但是可以收到更新信息---router rip----passive-interface f0/x(禁止该接口发送更新信息)-----禁止所有接口发送信息passive-interface default
3.rip手动汇总-----关掉自动汇总---int f0/x(进入发送更新消息的接口)---IP summary-add rip +汇总ip号+子网掩码
4. 手动汇总:进入接口--出接口--R1(config-if)#ip summary-address rip 汇总ip 汇总子网掩码
5. 产生默认路由-----router rip---default-information originate
6. Rip2铭文认证----
6.过滤地址---写访问控制列表(access-list 10 deny +想控制的ip地址)---access-list 10 permit any(建立了访问控制则默认拒绝所有,因此需要开启允许其他所有)---router rip---distribute-list 10 in(即在rip下开启访问控制)
动态路由eigrp配置
Eigrp ---采用组播--优先级默认90或者170--触发更新-默认自动汇总-支持组网--采用rtp可靠传输--会确保无路由环路
三张表:
路由表--记录路由信息
邻居表--记录邻居路由------------没有使用eigrp时叫邻居----使用了叫领接
拓扑表--将所有集合形成拓扑---最终形成路由表
Sh ip rou nei---看邻居
Sh ip ro ei ----看路由表
Sh ip ro ri to li---看 拓扑表
metric值的计算方法:
metric值=256(10^7/BW(最小带宽)+dly之和/10)
bw:最小带宽
dly:延迟之和,路由传递方向所有入接口的dly值的垒加
非等价负载均衡:
条目数量配置:maximum-paths
非等价负载均衡配置:variance multiplier
如何计算v值:v*S FD > FS FD 取整 s即优先级第一的
在源路由配置
配置V值:R1(config)#router eigrp 100
R1(config-router)#variance 6
EIGRP路由汇总:
R1(config)#int f0/0
R1(config-if)#ip summary-address eigrp 100 172.16.0.0 255.255.0.0
配置被动接口:
R1(config)#router eigrp 1
passive-interface Loopback0
选择最佳路由:
通告距离--下一跳到目的地址
可行距离--自己到目的地址
配置命令:
Router eigrp 1------1代表自治系统号,只有在同一个自治系统号内才能相互发送更新信息
No auto-summary-----关闭自动汇总
Network +直连网络号+子网掩码反码
动态路由ospf配置
Ospf--适合大规模网络--优先级为110--支持简单认证和md5认证
R1#show ip ospf neighbor---看邻居表
邻居状态state
Down state:未检测到活动邻居
Init state:接收HELLO报文
Two-way:接收到HELLO.并且其中包含本路由器的ROUTER-ID
Exstart state:确认Master(DR)/slave(BDR)的角色。 (HUB-SPOKE)
Exchange state:发送数据库描述报文。
Loading:交换LSR和LSU
Full:邻居达到完全邻接关系。
Area 0----主干路区域
配置命令:
Router ospf 1-----自治系统号
No auto-summary---关闭自动汇总
Network+直连网段+反码 +区域
虚拟链路技术
在两台区域边界路由器上进行做虚链路技术。
1:创建一个回环口
Router(config)#INterface LOopback 1
Router(config-if)#IP ADDress +ip地址 子网掩码
2:将回环口NETWORK在两台边界路由器之间的区域
Router(config)#router ospf 1
Router(config-router)#network 回环网段 反码 area 1
3:将回环口配置成ROUTER-ID
Router(config)#router ospf 1
Router(config-router)#router-id 回环ip
Router(config-router)#end
Router#clear ip ospf process
Reset ALL OSPF processes? [no]: yes
4:创建虚链路
Router(config)#router ospf 1
Router(config-router)#area 1(两个边界路由器之间的区域) virtual-link 对方的ID---即回环IP
区域2的路由器上去配置默认路由
Router(config)#ip route 0.0.0.0 0.0.0.0 69.1.1.6
Router(config)#ip route 0.0.0.0 0.0.0.0 91.1.1.9
----文档ospf系统知识
Acl访问控制
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
端口号--相应服务所在
分两种:
标准:只检查源地址时--在离目标地址最近的端口设置访问控制out
扩展:检查主机地址时-在离主机最近的端口设置访问控制in
标准访问控制;
命名访问控制:
IP access-list acl
deny +控制ip+反码
permit any--打开除控制外的其他ip
int f0/x进入接口
IPaccess-group acl out--开启访问控制
sh ip acc--查看acl规则
删除acl规则---no+规则编号
编号访问控制:
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
int f0/0
ip access-group 10 out
案例:拒绝学生宿舍访问财务室网络。
分析:拒绝的是整个网络,应该用什么类型的ACL?应用在哪个路由器的哪个接口?
应使用标准ACL:应用在离目标最近的端口(R2的f0/0),方向为out
具体配置:
方法一:使用命名方式配置
R2(config)#ip access-list standard ACL制定一个标准ACL(规则集)名称叫ACL
R2(config-std-nacl)#deny 192.168.10.0 0.0.0.255拒绝192.168.10.0网络
R2(config)#int f0/0
R2(config-if)#ip access-group ACL out将ACL应用到端口
R2(config)#ip access-list standard ACL
R2(config-std-nacl)#permit any
方法二:使用编号方式配置
标准ACL的编号值范围:1-99
R2(config)#access-list 10 deny 192.168.10.0 0.0.0.255
R2(config)#access-list 10 permit any
R2(config)#int f0/0
R2(config-if)#ip access-group 10 out
扩展访问控制:
不能访问某些服务
Access-list 100 deny (协议)+源ip +反掩码+host+目的地址eq 端口号或者协议 (找不到命令敲?)
Access-list 100 permit any any---打开其他
Int f/x 进接口
IP access-group 100 in
案例:拒绝学生宿舍ping服务器,但可以访问其他服务。
分析:拒绝的是一个特定的协议,所以用扩展ACL
扩展ACL应用到离源最近的端口,方向为in
ping用的是哪个协议呢?Icmp
R1(config)#access-list 100 deny icmp 192.168.10.0 0.0.0.255 host 192.168.100.1 echo
R1(config)#access-list 100 permit ip any any
R1(config)#int f0/0
R1(config-if)#ip access-group 100 in
基于时间限制的访问:
(config)#time-range deny_http-----设置时间段
(config-range)#periodic daily 9:00 to 17:00
(config)#access-list 101 deny tcp any any eq www time-range deny_http----设定规则
(config)#access_list 101 permit ip any any----允许上一条命令之外的
其他通过
(config)#int f0/0
(config)#ip access-group 101 in开启访问控制
删除命令:
IP access-list ex+编号 or st+名称 no+命令编号即可
控制内网访问外网之nat配置
内网私有地址:10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
配置命令:
在边界路由器上:
1.控制内网要上网的网段。
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)#access-list 1 permit 192.168.30.0 0.0.0.255
2.内网转外网的上网
Router(config)#ip nat inside source list 1 interface f0/1
采用IP NAT技术,使内网list 1 ,interface f x/x本路由器的外网接口
3.指定内外网接口
Router(config)#interface f0/0
Router(config-if)#ip nat inside {内网接口}
Router(config-if)#exit
Router(config)#interface f0/1
Router(config-if)#ip nat outside {外网接口}
4.内网的所有三层设备都需一条上网的默认路由
ip route 0.0.0.0 0.0.0.0 x.x.x.x利用tracert 查看内网访问外网的路径 有利于设置默认路由的下一跳。(跟踪边界路由接口ip)
NAT查看命令:Router#show ip nat translations
外网访问内网控制:
Router(config)#ip nat inside source static tcp 192.168.20.10 80 100.100.100.1 80
tcp 192.168.20.10 80:内网服务器相关的信息:采用的协议IP端口号
100.100.100.1 80:内网出口的IP端口号
解释:公网上的用户去访问100.100.100.1 80端口的时候,路由器会将100.100.100.1 80的流量转到192.168.20.10 80端口上。
路由重分布:
Router rip eigrp ospf
格式:router(router-config)#redistribute protocol [protocol-id] {level-1 | level-2|level-1-2} [metric metric-value] [metric-type type-value] [match (internal | external 1 |external 2)] [tag tag-value] [route-map map-tag] [weightweight] [subnets]
(1)、protocol变量表示源路由协议。源路由指该路由协议的路由是那些将被翻译成另一种协议的路由,protocol变量的可用值有:BGP、EIGRP、IGRP、OSPF、STATIC[IP]、CONNECTED、RIP。其中STATIC[IP]用于重分布IP静态路由给ISIS,CONNECTED表示OSPF和IS-IS重分布这些路由作为到达AS的外部路由
(2)、protocol-id是AS的号码,level-1、level-2、level-1-2仅用于IS-IS。
(3)、可选项metric后面跟着metric-value,以指定度量值,redistribute命令使用的metric metric-value变量值优先于default-metric后面的缺省度量值。
(4)、可选项metric-type type-value,当该关键字用于OSPF时,其变量缺省为一个type 2外部路由,并作为公布到OSPF AS中的默认路由。使用数值1表名缺省路由是一个type 1外部路由。
(5)、可选关键字match和其参数internal、external 1、external 2专用于重分布到其他路由协议的OSPF路由。internal表示路由是AS的内部路由。external 1表示路由是type 1外部路由,external 2表示路由是type 2外部路由。
(6)、可选项tag tag-value将一个32位的小数值赋给外部路由。tag-value不能用于OSPF路由协议但是可以供ASBR使用。如果tag标记没有定义,当重分布BGP路由时,所使用的缺省标记是来自BGP路由的远程AS号码。其他路由协议的缺省标记为0。
(7)、router-map map-tag 将过滤器用于源路由协议导入的路由。不指定router-map,则允许所有的路由被重分布。
(8)、weight weight给重分布到BGP中的路由指定一个0-65535的整数。BGP使用weight值确定多条路径中的最佳路径。
(9)、subnets用于重分布路由到OSPF,启用粒度重分布或者汇总重分布。
router eigrp 1
redistribute rip metric 100 10 100 100 100
redistribute ospf 1 metric 100 100 100 100 100
redistribute static metric 100 100 100 100 100
redistribute connected metric 100 100 100 100 100 ------------重分布直连网段
network 192.168.50.0
auto-summary
!
router ospf 1
log-adjacency-changes
redistribute rip subnets
redistribute eigrp 1 subnets
redistribute static subnets
redistribute connected subnets
network 192.168.70.0 0.0.0.255 area 0
!
router rip
redistribute eigrp 1 metric 2
redistribute ospf 1 metric 2
redistribute static metric 2
redistribute connected metric 2
