HCIA课程 --课后笔记06

动静态路由的优缺点

静态路由:由网络管理员手写的路由条目。

动态路由:所有路由器上运行相同的一种动态路由协议,之后通过路由器之间的沟通,协商最终计算生成的路由条目。

静态路由

优点：

1. 选路由管理员选择,相对更容易掌控
2. 不需要占用额外的资源
3. 更加安全

缺点：

1. 在复杂的网络环境中,配置量较大
2. 一旦网络结构发生变化,静态路由不能基于拓扑的变化而变化(不能基于拓扑的变化而自动收敛)

动态路由

优点：

1. 可以基于拓扑的变化而自动收敛
2. 部署简单,仅需在所有路由器上运行相同的路由协议即可

缺点：

1. 路径由单一算法计算得出,不一定是最优路径,甚至可能出现环路
2. 会额外占用路由器硬件资源和链路带宽资源
3. 因为设备之间存在信息传递,所以,比较容易被利用产生安全问题

总结：

1. 静态路由适合小型简单的网络环境
2. 动态路由设用于复杂的网络环境中

• AS—自治系统–将网络分块管理-由单一的机构或组织所管理的一些列IP网络及其设备所构成的集合
• AS的管理–AS存在编号–由16位二进制构成(0-65535)—现在也有拓展版的AS编号–32位二进制构成

AS的通信

• As内部通信所使用的协议-IGP(内部网关协议)—RIP,OSPF,is-is, eigrp等
• AS之间的通信协议—EGP(外部网关协议) --BGP

IGP根据算法进行分类

• 距离矢量型协议(DV) — 路由器之间直接发送路由条目信息。—使用的算法:贝尔曼-福特算法( Bellman-Ford算法) —“依据传闻的路由协议”— RIP

• 链路状态型协议(LsS) — 链路状态信息(LSA — 链路状态通告) — 使用的算法:SPF算法 — 将图形结构转换为树形结构–OSPF,IS-IS

RIP — 路由信息协议

• 邻居 — 相邻的两个路由器,可以直接通过直连网段进行通信
• Destination/Mask,度量值( Metric) — 开销值(Cost) — 动态路由重要的选路依据
• 开销值：当动态路由计算岀多条到达相同网段的路径时，将比较他们的开销值，会选择开销值最小的加入到路由表中。
• 不同协议之间，比较优先级；相同协议之间，比较开销值。
• 不同路由协议之间，他们的开销值的度量标准是不一样的，不同协议的开销值没有可比性。
• RIP是以跳数作为开销度量的
• RIP支持等开销负载均衡
• RIP的默认优先级 — 100(华为中定义的)
• RIP存在一个工作半径 — 15跳。当RIP收到—个目标网段路由的开销值为16跳的时候，则认为该网段不可达。
• RIP在传递路由条目的数据包中所携带的COST=本地路由表中该网段的开销值+1

Bellman-Ford算法

1. AR1收到AR发送的2.2.2.0/24网段的路由信息，但是AR1本地路由表中没有这条网段的路由信息；则直接将该路由刷新到AR1的路由表中
   Destination/Mask Proto Pre Cost Flags NextHop Interface
   2.2.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0

2. AR1收到AR2发送的2.2.2.0/24网段的路由信息，但是AR1本地路由表中有这条网段的路由信息；则看下一跳，本地路由表中的下一跳就是AR2；这种情况下将直接将R2发送的路由信息刷新到路由表中。

3. AR1收到AR2发送的2.2.2.0/24网段的路由信息,但是AR1本地路由表中有这条网段的路由信息；则看下一跳，本地路由表中的下一跳不是AR2，则比较开销值。若本地的开销值大于AR发来的路由的开销值；则将AR2发的路由信息刷新到路由表中。

4. AR1收到AR2发送的2.2.2.0/24网段的路由信息，但是AR1本地路由表中有这条网段的路由信息;则看下一跳，本地路由表中的下一跳不是AR2，则比较开销值。若本地的开销值小于AR2发来的路由的开销值;则不刷新AR2发送的路由信息。

RIP的版本

• 一共存在3个版本 — RIPV1，RPV2，RIPNG
• RIPV1，RIPV2 — IPV4
• RIPNG — IPV6

RIPV1和RIPV2的区别

1. V1是有类别的路由协议，V2是无类别的路由协议
   V1在发送目标网段信息时，不携带子网掩码；
   V2在发送目标网段信息时，携带子网掩码。

2. Ⅵ1不支持手工认证，Ⅴ2支持手工认证 — 通过相同的口令完成身份认证

3. V1采用广播的形式发送信息；V2是通过组播的形式发送信息; — 2240.0.9
   RIP传输层使用的是UDP协议,通信端口为520端口。

RIP的数据包

• ​ request — 请求包

• ​ response — 响应包(包含路由信息) — 更新包

RIP在收敛完成之后，依然会每隔30发送一个 response ---- RIP的周期更新

1. 弥补RP自身没有确认机制
2. 弥补RP自身没有保活机制

RIP的周期更新–异步周期更新

RIP的计时器

1. 周期更新计时器 — 30S
2. 无效计时器 — 180S — 路由条目刷新后将启动一个180S的无效计时器，若计时器结束路由未刷新，则认为路由不可达。则将该路由从全局路由表中删除掉，并将该路由条目的开销值改为16。并且将其存放在缓存当中，之后周期更新的时候依然会携带。— 带毒传输
3. 垃圾回收计时器 — 120S — 无效计时器归0后，开始计时，120S时间到则将彻底删除该路由。更新时也不再发送。

RIP的破环机制

1. 触发更新 — 当网络拓扑结构发生变化时，第一时间将变化信息传递出去。

2. 水平分割 — 从哪个接口学来的不再从哪个接口发出去。

3. 毒性逆转 — 从哪个接口学来的还从哪个接口发岀去，但是要带毒。

因为毒性逆转和水平分割做法矛盾，所以只能二选其一。华为设备默认开启水平分割，但如果水平分割和毒性逆转同时开启时，华为设备将按照毒性逆转的规则来执行。

RIP的配置

1、启动RIP进程

[r1]rip 1 --- 仅具有本地意义,区分多个R|P进程使用(如果不带进程号，默认进入进程1）
[r1-rip-1]

2、选择RP的版本

[rl-rip-1]version 1

3、宣告

宣告的要求:

1. 所有直连网段都需要宣告
2. 必须按照主类宣告

[r1-rip-1]network 1.0.0.0

宣告的目的：

1. 激活接口 — 只有激活的接口才可以收发RP的数据包
2. 发布路由 — 只有激活的接口所对应的网段的路由信息才能发布岀去

[r1]display rip1 route --- 查看RIP的路由表

RIP的拓展配置

1、RIPV2的手工认证

[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual plain 123456

2、RIPV2的手工汇总

[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0

3、沉默接口

[r1-rip-1]silent-interface GigabitEthernet 0/0/1

4、加快收敛–修改计时器

[r1-rip-1]timers rip 30 180 120 --- 修改计时器时不能修改他们的倍数关系

5、缺省路由

[r3-rip-1]default-route originate

ACL — 访问控制列表 — 策略

• 配置了ACL的网络设备根据事先设定好的报文匹配规则，对经过该设备的流量按照规则进行匹配，对匹配上的流量执行设定好的动作。

ACL的功能

1. 访问控制：在路由器流量流入或者流岀的接口上，匹配流量，然后执行设定好的动作。— permit(允许)/deny(拒绝)

2. 抓取感兴趣流：AC和其他服务结合使用，ACL负责匹配对应的流量，而其他的服务对匹配到的流量执行相应的动作。(流量控制 — ACL和Qos — 服务质量技术)

ACL控制列表的匹配规则

• 自上而下逐一匹配，匹配上，则按照对应的动作执行，不再向下匹配。

思科体系的设备，在AC访问列表的未尾隐含了一条拒绝所有的规则。
华为体系的设备，在ACL访问列表的未尾隐含了一条允许所有的规则。

ACL的分类

• 基本ACL:仅关注数据包中的源IP。(只看你是谁）
• 高级ACL:除了关注数据包中的源P以外,还会关注数据包中的目标P,及协议和端口号。(不光看你是谁,还要看你去哪，去干嘛)
• 二层ACL：
• 用户自定义ACL：

需求一：PC1可以可以访问3.0网段，但是PC2不行。

• 基础ACL的位置原则：由于基础ACL仅关注数据包中的源IP地址，故调用时应尽量靠近目标，避免对其他地址访问误伤

ACL配置

1、创建ACL列表

[r2]acI ？  
	INTEGER<2000-2999> Basic access-list(add to current using rules）---基础ACL编号范围
	INTEGER<3000-3999> Advanced access-list(add to current using rules）--- 高级ACL编号范围
	INTEGER<4000-4999> Specify a L2 acl group --- 二层ACL编号范围
	ipv6            	ACL ipv6
	name                Specify a named acl
	number				Specify a numbered Acl
[r2]acl 2000

2、在ACL列表中添加规则

[r2-acl- basic-2000] rule deny source 192.168.1.3 0.0.0.0--通配符-0对应位不可变,1对应位可变。0和1可以穿插使用
[r2-acl-basic-2000]rule permit source any --- 允许所有
[r2] display acl 2000 --- 查看ACL列表
[r2-acl- basic-2000]rule 6 deny source 192.168.1.2 0.0.0.0 --- 通过序号来添加规则
[r2-acl-basic-2000]undo rule 6 --- 按照序号删除规则
	华为默认以5为步调自动添加规则序号,其目的时为了方便在中间插入规则。

3、接口上调用ACL列表

	[r2-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
	切记：一个接口的一个方向上只能调用一张ACL列表。

• 需求二:要求PC1可以ping通PC3,但是不能ping通PC4
• 高级ACL的位置原则：由于高级ACL对流量进行精确匹配，可以避免误伤，所以调用时应尽量靠近源，减少锤路资源的浪费。

[r1]acI name xuqiu2 3000 --- 通过重命名的方式创建ACL列表
[r1-acl-adv-xugiu2]
[r1-acl-adv-xugiu2]rule deny icmp source 192. 168.. 0.0.0.0 destination 192.168.3.2 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 ---重命名的方式调用ACL列表