静态拓展配置，ACL,RIP

路由：

网络部署思路

1.拓扑的设计—IP地址的规划

2.实施

1.底层—所有需要需要配置IP地址的节点配置一个合法的IP地址

2.路由—全网可达

3.策略和优化

4.测试

5.排错

6.维护和升级

40 两台路由器，交换机若干

路由器的转发原理——路由表

当一个数据包来到路由器，路由器会基于数据包中的目标IP地址查找自身的路由表，如果路由表中有相应的记录，则无条件根据路由表中记录的信息进行转发，如果路由表没有记录则直接丢弃。

<r1>display ip routing-table —查看路由器路由表信息

Destination/Mask —访问的目标网段

Proto-协议 Direct—直连

NextHop——下一跳（流量经过的下一个路由器的入接口IP地址）

Interface—出接口

路由—指示去往未知网段的方法

静态路由—由网络管理员手工配置的路由

动态—由运行同一种动态路由协议的设备通过沟通协商最终自行计算得出的路由

静态路由—由网络管理员手工配置的路由

基础配置：

[r1]ip route-static 192.168.3.0 24 192.168.2.2

[r1]display ip routing-table protocol static —过滤通过静态写的路由

[r1]ip route-static 192.168.3.0 24 GigabitEthernet 0/0/1 192.168.2.2—既写下一跳也写出接口

[r1]undo ip route-static 192.168.3.0 24

拓展配置：

1.负载均衡—当对于路由器而言，去往一个目标网段，具有相同或者相似的开销，那么，可以同时写多条路径，形成负载均衡（主要目的是流量的分流）

2.环回接口—（LoopBack）用来测试的接口—模拟用户网段

[Huawei]interface LoopBack 1

[Huawei]ping -a 192.168.1.1 2.2.2.2——可以指定ping的源IP和目标ip，如果不指定，则路由器会递归路由表，使用递归到的接口IP地址作为源。

3.手工汇总—当路由器访问目标网段具备相同的下一跳，同时这些目标网段是连续的（具备汇总的条件）的情况下，我们可以进行汇总，写一条去往汇总网段的路由。（方法：类似子网汇总—去相同取不同）

[Huawei]ip route-static 192.168.0.0 22 12.0.0.1

合理的规划IP地址能够尽量减少黑洞的产生，不能完全避免。

4.路由黑洞—再汇总路由中，包含真实环境下是不存在的网段，就会导致流量有去无回的现象，造成链路资源的浪费。

5.缺省路由—0.0.0.0 0（32位二进制全为2，主机位有2的32次方）访问外网，访问运营商的设备—一条不指定木匾的路由（由于掩码为0，所以可爱代编整个IP地址范围）

ip route-static 0.0.0.0 0.0.0.0 12.0.0.2

6.空接口—解决环路问题

配置位置—黑洞路由器——流量走向（汇总网段NULL 0）汇总网段的路由指向空接口（丢弃流量）

[Huawei]ip route-static 192.168.0.0 22 NULL 0—汇总网段的路由指向空接口

路由表匹配原则（最优先）—最长掩码匹配原则

7.浮动静态路由—链路备份（优先级preference）

ip route-static 0.0.0.0 0.0.0.0 21.0.0.2 preference 61

动态路由

动态路由—由运行同一种动态路由协议的设备通过沟通协商（发送数据包）最终自行计算得出的路由（算法）

静态路由—有网络管理员手工配置的路由

静态路由—中小型网络

缺点：

1. 在复杂环境，配置量大
2. 不能自行随着网络结构的变化从而自己完成收敛

优势：

1. 占用资源少
2. 安全性好
3. 可控性好

动态路由—大型网络

优势：

1.复杂网络环境下配置简单

2.能够随着网络的变化自行收敛（计算得出路由，获取到的路由加载到路由表中）

缺点：

1. 资源占用大
2. 安全性差
3. 可控性—（可能出现环路）

分类：时间及范围问题不可以用一种动态路由协议

（1）区域—区域大小来分

AS—自治系统：内部网关协议和外部网关协议

AS内部协议—内部网关协议—RIP,OSPF,---ISIS,EIGRP

AS之间的协议—外部网关协议—BGP

AS号—区别和标识不同的AS—自治系统

（2）内部网关协议—

根据动态路由协议使用的算法不同

1.距离矢量型路由协议—共享路由表—RIP

2.链路状态型路由协议—共享拓扑信息—路由器周边的连接情况-OSPF

RIP—共享路由表中的路由信息—中小型网络

规定：15跳的工作班级（30台路由器）

共享两个参数：

（1）目标网段

（2）Cost—开销值—跳数（经过路由器的数量）

——同一种动态路由协议选路的重要依据

特点：不够科学

开销值越大，优先级级别越低

RIP优先级—100

——不同种动态路由协议的重要依据

静态（preference）优先级—60

工作过程：贝尔曼-福特算法

（1）对于R2而言，如果我收到一条我本地路由表没有的路由信息则直接将该路由信息刷新到自己本地路由表中。

（2）对于R2而言，如果我收到一条我本地路由表已经有的路由信息，如果来源一致则刷新该路由信息到自己的本地路由表中。

（3）对于R2而言，如果我收到一条我本地路由表已经有的路由信息，如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值小，则不刷新。

（4）对于R2而言，如果我收到一条我本地路由表已经有的路由信息，如果来源不一致则根据传递过来的路由信息中携带的开销值进行比对。如果本地路由表中的开销值大，则刷新。

RIP—V1，V2—IPV4的网络环境

NG—IPV6

V1,V2的区别：

（1）V1是有类别的动态路由协议，V2是无类别动态协议

—有类别传递数据包过程中不携带子网掩码

（2）V1不支持手工认证，V2支持手工认证

—手工认证数据包携带密码

（3）V1使用广播这种方式发送自己的数据包，V2使用组播这种方式发送自己的数据包—组播地址范围224.0.0.9

RIPV2数据包：

（1）request—请求包

（2）response—应答包—（携带路由信息）

工作工程：

（1）初始化：RIP会向所以运行了RIP这种协议的接口发送RIP的请求包，用来请求邻居的路由表。

（2）接受阶段：RIP的邻居收到请求包后，会将自身的路由表的路由信息打包（response）通过广播/组播发送出去。

（3）判断阶段:根据算法判断哪些信息需要加表。

RIP存在一个周期更新的机制—30s会发送一个response包。

RIP没有确认机制

RIP没有保活机制—RIP失效计时器（180s）

RIP计时器：

（1）周期更新计时器—30s

（2）失效判断计时器—180s

（3）垃圾回收计时器—120s

经过180s会将路由信息从自身路由表中删除，之后将该信息存储在缓存中，之后在更新包中会携带该路由信息，cost=16—带毒传输。

RIP—异步更新造成环路问题

解决方法：

（1）16跳：cost=16

（2）触发更新：当一个网段消失，不需要等待周期更新，直接发送

（3）水平分割（默认开启）：从一个接口接收到的路由，将不在从这个接口发出

（4）毒性逆转：从一个接口接收到的路由，从这个接口发出的同时会携带cost=16

如果水平分割和毒性逆转同时启动，将按照毒性逆转的规则执行。

RIP配置：

【r1】Rip 1—启动RIP进程

【r1-rip-1】version 1—选择版本，选择版本2（RIP主类宣告）

【r1-rip-1】Network 12.0.0.0—宣告RIP版本2

1.发布路由

2.激活接口—只有被激活的接口才能正确的收发rip的数据包

拓展配置：（支持负载均衡）网络优化

1.手工认证

配置位置：（激活RIP协议的接口）

2.手工汇总

3.沉默接口

4.加快收敛—更改RIP的计时器

5.缺省路由：起源，配置位置RIP进程中（路由器连接互联网的路由器）

策略

ACL-访问控制（功能）列表（形式）

配置一张ACL列表，列表包含设置好的规则，之后所有的流量按照对应的规格执行，允许和拒绝

访问控制—

ACL的匹配原则：

（1）自上而下逐一匹配，一旦匹配上，则不继续往下匹配

默认的ACL列表末尾隐含一条允许所有指令(不做处理)，即所有长度都没匹配上，自动允许通过（华为设备）

斯克—默认拒绝所有

抓取感兴趣流（量）—QOS

ACL的分类：

（1）基础的ACL—只匹配源（只看源头，不看目标）编号：2000-2999

（2）高级的ACL—可以即匹配源，也可以匹配目标，甚至可以匹配协议端口好等等，编号：3000-3999

（3）用户自定义的ACL—可以用户自定义相应的功能，编号：4000-4999

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

IP_ADDR<X.X.X.X> Wildcard of source—通配符

0 Wildcard bits : 0.0.0.0 ( a host )

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.255.0.255 —0代表不可变，1代表可变

（相当于匹配192.X.1.Y这样特征的流量）

[r2-acl-basic-2000]display acl 2000—查看ACL列表配置

Acl's step is 5—步长，一方面确定匹配顺序，方便规则之间插入一些规则

[r2-acl-basic-2000]undo rule 5—删除ACL规则

（1）写ACL列表

（2）路由器的接口调用ACL列表，需要注意方向（一个接口的一个方向只能调用一张列表）

基础的ACL一般更靠近目标的位置配置

配置：

[r1]acl 3000—创建ACL 列表

acl number 3000

rule 5 deny icmp source 192.168.1.2 0 destination 192.168.3.3 0 —配置规则

调用位置—更靠近源

[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000—注意调用的方向

[r2]display acl 3000

Advanced ACL 3000, 2 rules

Acl's step is 5

rule 5 deny tcp source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

destination-port eq telnet

rule 10 deny tcp source 192.168.4.2 0 destination 192.168.1.1 0 destination-port eq telnet