路由配置

路由器的递归查找

当一条路由的下一跳地址不是本路由器的直连路由的时候,路由器会将下一跳地址作为目的地址,在自己的路由表中进行第二次查找,寻找是否有路由可以达到该网络,如果有,则路由生效,没有,则路由不生效。

水平分割

路由协议防环的一种手段,从一个接口发出去的路由,不从这个接口再收到。

RIP

典型的距离矢量路由协议,工作在UDP之上,UDP端口号:520,RIP路由协议的工作依赖于IP,只能工作在一个纯粹的IP网络中。RIP采用广播或者组播的方式定时更新自己的路由表,定时周期:默认值为30S,在CISCO设备中,RIP的默认AD值为:120,RIP以跳数(经过的路由器的台数作为度量值),最大支持15跳,16跳代表该网络不可达。
V1,只支持IPV4路由,有类路由协议,会根据IP地址的值,自动将网段归纳为A,B,C类,在发送更新的时候,V1不携带子网掩码,采用广播的方式更新自己的路由表:广播地址:255.255.255.255
V2,只支持IPV4路由,无类路由协议,不会根据IP地址的值,自动将网段归纳为A,B,C类,在发送更新的时候,V2携带子网掩码,采用组播更新的方式更新自己的路由表:组播地址:224.0.0.9
NG,支持IPV6路由

RIP的配置

1.启动RIP进程:
在路由器的配置模式下:
router rip (在一台CISCO设备上只能启动一个RIP进程)
2.选择RIP的版本:
在RIP路由进程下

version 2

3.关闭RIP的自动汇总功能:
在RIP的路由no auto-summary本路由器的直连网段宣告进RIP进程中:(只宣告本路由器的直连网段,非直连网段不用管)

network X.X.X.X(主网段号)

A.被宣告的网段才会参与路由进程。
B.被宣告的网段所在的直连接口才会发送和接收路由协议的路由更新。
5.修改RIP路由协议的AD值:
在RIP进程下:distance #(自定义)(在动态路由协议下,修改AD值,会影响本路由器上由该路由协议生成的所有路由条目的AD值,没有任何工具可以修改某一条动态路由协议下的明细路由)

OSPF

是链路状态路由协议,OSPF组网规模的大小:500台路由器,2万条路由条目,OSPF在CISCO路由器中默认的管理距离为:110,OSPF工作在IP层之上,协议号:89。OSPF采用组播更新的方式更新路由,组播地址:224.0.0.5和224.0.0.6。OSPF的度量值=参考带宽(100M)/实际带宽。OSPF采用触发更新的方式更新路由表:(网络中有链路通断的时候,才会发送相应的更新)

链路状态路由协议都会维护三张表

1.邻居表:(查看OSPF邻居表的命令:show ip ospf neighbor
邻居表中的内容:
A.neighbor ID:邻居路由器的OSPF RID值。
B.优先级:在广播型链路上(以太网链路)选举DR和BDR时的优先级,在P2P没有该值。
C.邻居状态:本路由器与邻居路由器形成什么样的邻居关系。(OSPF路由器之间必须达到FULL的邻居关系,才证明OSPF配置无误,启动成功)
D.存活时间:两台路由器之间KEEPALIVE的时间。
E.邻居路由器与本路由器建立关系所用的接口的IP地址。
F.本路由器采用哪个端口号与邻居路由器建立邻居关系。

2.OSPF通过建立邻居数据库,从OSPF的邻居路由器学到关于OSPF整网的拓扑图:
查看OSPF数据库的命令

show ip ospf database

OSPF的LSDB详细的纪录了整网的所有网段和网段到本路由器的metric值。

3.OSPF的路由表:查show ip route ospfSPF的路由表是每一台OSPF路由器单独的以自己为根依据本路由器自己的OSPFLSDB表,算出的去往每一个网段的无环路径树,最终形成OSPF的路由表。

OSPF采用划分区域的方式减少区域间网络波动对其他区域造成的影响,以支持更大规模的网络。

OSPF的多区域

1.任意一个OSPF进程中,都必需有区域0,区域0是OSPF的骨干区域。
2.OSPF的区域是一个标准的两层规划,只能与区域0和非0区域,所有的非0区域,必需与区域0相连。
3.OSPF的区域是路由器端口的集合,与路由器本身无任何关联。
4.两台直连路由器的直连端口必须在同一个区域。
5.所有非0区域间的互访必须经过区域0。

OSPF路由器的分类

1.一台路由器的所有端口都属于区域0,这台路由器叫做骨干路由器。
2.一台路由器至少一个端口属于区域0,一个端口属于非0区域,这台路由器叫做区域边界路由器(ABR)
3.一台路由器至少一个端口属于OSPF进程,一个端口属于其他路由进程,这台路由器叫做自治系统边界路由器(ASBR)
4.一台路由器的所有端口都属于非0区域,这台路由器叫做内部路由器。

OSPF的基本配置

1.启动OSPF进程:
在配置模式下:router ospf #(进程号,自定义,在一个AS内,进程号不同的OSPF可以认为是另一种路由协议)
2.设置路由器的RID:
在路由进程下

router-id X.X.X.X

(在一个OSPF进程中,唯一的标示一台路由器的标志,OSPF可以不配置RID,OSPF默认会自动决选出一个RID,决选规则:
1>.优选LOOPBACK接口;
2>.无LOOPBACK接口,在所有允许OSPF的端口上选择最大的IP地址作为RID)
3.宣告网段:
在路由进程下:

network X.X.X.X + 反掩码 area (把相应的网段宣告进相应的OSPF区域中)

OSPF的启动过程

Down->Init->2 way->Exstart->Exchange->Loading->Full
单向hello 双向hello DBD LSR LSU LSACK
FULL代表两台路由器互相学完了对方所有的路由,达到了收敛的状态。

强制下发默认路由

1.所有动态路由都具备的特征。
2.边界路由器上存在一条默认路由。
3.在动态路由协议的路由进程下:
输入命令

default-information originate

4.强制下发默认路由的默认路由会沿着动态路由的路径进行传递,在OSPF路由中,强制下发的默认路由metric值恒为1。在RIP路由中,metric值会随着路由路径的增加而累加。
5.强制下发默认路由只能用在单路由域与外部互通的情况下,如果有多路由域需要互通的情况下,则不要使用该技术。

OSPF中有的时候会存在脱离骨干区域的第三层区域:可以和他的边界路由器达到FULL的邻居关系,但是无法学到OSPF中其他区域的路由,也无法将本区域的路由传递给其他区域。

OSPF有特殊的手段可以解决脱离骨干区域的第三层区域:虚链路。
在第三层区域和区域0之间的中间区域的两台边界路由器上用命令:

area # (中间区域的区域号) virtual-link X.X.X.X (对端路由器的RID)

OSPF区域间的路由汇总

将OSPF非0区域内有规律的路由条目汇总后发给其他的区域,以减少其他区域内的路由条目数。
汇总的动作是在区域边界路由器上完成动作:
命令

area # (区域号,非0区域)X.X.X.X + 子网掩码 (手动汇总后的大网段)

汇总路由

1.在区域边界路由器上仍旧会保留区域内的明细路由,但是会生成一条汇总路由,汇总路由的下一跳指向NULL 0,这种路由叫做黑洞路由。
2.汇总路由,会选择所有明细路由中最小的metric值作为自己的metric。
3.汇总路由存在的条件是至少存在一条被汇总的明细路由。
4.非本区域的其他区域路由器只能学到汇总后的路由,无法学到明细路由。
5.汇总路由一般只针对非0区域使用,不要对0区域使用路由汇总。

ACL

IP访问控制列表:针对IP数据包所做的一种控制手段,是一种三层应用。

ACL只能对穿越本路由器的IP数据包进行过滤和控制,不能对源发自本路由器的数据进行过滤和控制。

ACL的作用

1.过滤和控制流经本路由器的数据包
2.标记出特殊的网段用来和其他的工具联动以实现一些进阶的操作,比如:route-map,traffic-behavior。

ACL条目的三个内容

1.ACL的条目号:access-list # (1-99,标准ACL,100-199,扩展的ACL)
2.动作:deny(拒绝数据包通过本路由器),permit (允许数据包通过本路由器)
3.内容:ACL需要检查的内容(标准ACL和扩展ACL能检查的能容有较大差距)
标准的ACL只检查源地址:会拒绝或允许所有IP包中源地址匹配的数据包。
扩展的ACL检查的内容:1.协议类型(可以是IP,也可以是IP的上层应用,传输层协议,例如:TCP,UDP)
2.源地址(IP包头中的源地址)
3.源地址端口号(但是一般不用)
4.目的地址(IP包头中的目的地址)
5.目的端口(用来标示传输层的上层协议是什么协议,例如:FTP,TELNET等)

一个ACL条目中可以存在多个ACL的RULE,每一个RULE都是单独执行的,不参考其他的RULE。

ACL在路由器上启到过滤IP数据包的作用时,有in和out方向的区别。

in和out方向是针对路由器的端口设定的,要判断ACL使用的方向是in还是out时候,要看从源地址到目的地址,数据流经时经过路由器的端口,是要进入本路由器,还是离开本路由器,进入是in方向,离开是out方向。

ACL在路由器端口下生效的时候,需要用命令

ip access-group # (ACL号)in/out 

调用,在一个端口的一个方向只能使用一个ACL,后配置的会覆盖先配置的ACL。

IN方向的ACL:进入本路由器的数据包直接匹配端口下的ACL,匹配完成后再决定是否可以进入本路由器。
OUT方向的ACL:进入路由器的数据包会先匹配路由器的路由表,找到相应的转发接口以后,再匹配转发接口下的ACL,最终决定是否转发该数据包。

在路由器中:ACL采用顺序匹配的方式,按照ACL中RULE的条目编号从小到大进行匹配,如果有冲突的ACL则直接执行先匹配到的。
在一些老的包过滤防火墙中,使用深度匹配的机制:将数据包中的内容与每个RULE进行匹配,最终得出操作结果,如有冲突,执行拒绝优先。

一个ACL的末尾都有一个隐含的deny any的条件,如果不能与任何rule匹配的数据包,则会匹配deny any。
所有的ACL中至少应该有一个rule是permit的。

检查ACL的命令

show access-list

(查看到本路由器上所有的ACL,以及这些ACL被命中的次数)

NAT

由于IPV4公网地址已经枯竭,为了解决多个私网用户复用一个或多个公网IP地址访问Internet的问题,采用NAT技术解决此问题。NAT技术是在一台路由器上完成的路由器内部映射的动作。

NAT术语:
1.内部本地地址:用户本地内网所使用的私网IP地址
2.内部全局地址:用户上外网时所使用的合法的公网IP地址。

静态NAT

1.选出路由器上与用户内网私网地址相连的端口,并在端口模式下,将该端口定义为

ip nat inside

2.选出路由器上与外网相连的公网端口,并在端口模式下:将该端口定义为

ip nat outside

3.在路由器上配置默认路由去往Internet。
4.形成静态的NAT映射关系:

ip nat inside source static X.X.X.X (用户内网的私网地址) Y.Y.Y.Y(公网地址,一定与IP NAT OUTSIDE 端口在同一个网段)

动态NAT

1.选出路由器上与用户内网私网地址相连的端口,并在端口模式下,将该端口定义为

ip nat inside

2.选出路由器上与外网相连的公网端口,并在端口模式下:将该端口定义为

ip nat outside

3.在路由器上配置默认路由去往Internet。
4.建立IP NAT地址池:

ip nat pool # (自定义)起始IP地址 (公网IP地址,与IP NAT OUTSIDE端口在同一个网段 netmask (子网掩码,不要把两端互联的公网IP地址,加到IP NAT地址池中。)

5.用ACL定义出需要上外网的网段。

access-list ¥ (acl编号,一般采用标准ACL)permit(ACL与其他工具联用的时候,动作一定是permit)

6.形成映射关系:

ip nat inside source list ¥(acl编号)pool #(地址池名称)overload(复用公网IP地址) 

查看nat是否成功的命令:

show ip nat trans

可以看到内网地址和公网地址之间在路由器上形成的一一对应的映射关系。

你可能感兴趣的:(网络,路由器,rip,ospf,OSPF路由配置)