连网技术与网络管理2023-06-03 动态路由

路由协议的类型主要可以分为以下三类：

1. 距离矢量协议（Distance Vector Protocols）：这类协议使用跳数（hop count）作为衡量路径的度量标准。每个路由器仅知道自己相邻路由器的信息，并通过交换路由表来了解整个网络的路由信息。常见的距离矢量协议包括经典的Routing Information Protocol (RIP)。

2. 高级距离矢量协议（Advanced Distance Vector Protocols）：这类协议在距离矢量协议的基础上进行了改进，引入了更复杂的度量标准和路由选择算法，以提高路由的收敛性和性能。其中最著名的是Cisco的Enhanced Interior Gateway Routing Protocol (EIGRP)。

3. 链路状态协议（Link-State Protocols）：这类协议通过交换链路状态信息来了解整个网络的拓扑结构，每个路由器都有完整的网络地图。根据收集到的链路状态信息，路由器可以计算出最优的路由路径。常见的链路状态协议包括Open Shortest Path First (OSPF)和Intermediate System to Intermediate System (IS-IS)。

这些路由协议类型具有不同的特点和适用场景，具体选择哪种协议取决于网络规模、性能要求、供应商支持以及网络管理员的偏好等因素。

 

在路由协议中，度量（metric）用于衡量路径的优劣，以选择最佳的路由。不同的路由协议使用不同的度量标准，但一般情况下，较小的度量值表示更好的路径。

以下是一些常见的度量标准和如何选择最佳路由的方法：

1. 跳数（Hop Count）：距离矢量协议常用的度量标准是跳数，即从源节点到目标节点经过的中间路由器数量。较少的跳数通常表示更短的路径，因此选择跳数最少的路由可以得到最佳路由。

2. 带宽（Bandwidth）：某些路由协议使用链路的带宽作为度量标准。较高的带宽表示较大的可用资源，选择带宽最高的路由可以得到更好的性能。

3. 延迟（Delay）：度量路由延迟是评估路径速度的常见方法。较低的延迟意味着数据可以更快地传输，选择延迟最小的路由可以实现更低的延迟。

4. 可靠性（Reliability）：度量路由可靠性是评估路径稳定性的方法。较高的可靠性表示较少的丢包和中断，选择可靠性最高的路由可以提供更稳定的连接。

5. 成本（Cost）：成本是一种抽象的度量标准，可以根据网络管理员的需求进行定义。成本可以根据多种因素，如跳数、带宽、延迟等进行计算。根据设定的成本计算规则，选择成本最低的路由可以得到最优路由。

路由协议根据所使用的度量标准进行路径选择，并在路由表中存储相应的度量值。根据度量值，路由器可以选择最佳的路由路径来转发数据包。不同的路由协议和网络环境可能更适合不同的度量标准，因此在选择路由协议和配置路由时，需要考虑网络需求和性能要求，并选择适当的度量标准来实现最佳路由选择。

 

在常见的路由协议中，使用不同的度量标准来选择最佳路由。下面是一些常用的路由协议及其使用的度量标准：

1. RIP (Routing Information Protocol)：RIP使用跳数作为度量标准。每个路由器根据到达目的地的跳数来评估路径的优劣，选择跳数最少的路径作为最佳路由。

2. OSPF (Open Shortest Path First)：OSPF使用开销（Cost）作为度量标准。开销可以根据带宽、延迟、可靠性等因素计算得出，其中带宽和延迟是常用的度量标准。路由器根据开销值选择最小的路径作为最佳路由。

3. EIGRP (Enhanced Interior Gateway Routing Protocol)：EIGRP使用多个度量标准来选择最佳路由，包括带宽、延迟、负载和可靠性。EIGRP根据这些度量值计算出一个综合的度量值，并选择最小的度量值对应的路径作为最佳路由。

需要注意的是，不同的路由协议在使用度量标准和计算方式上可能有所不同。这些度量标准的具体配置和权重也可以根据网络需求进行调整和优化，以实现更合适的路由选择。

另外，除了上述提到的度量标准外，还有一些其他的度量标准可以用于路由选择，如可用带宽、可用路径数等。根据网络规模、性能需求和环境特点，选择合适的路由协议及其度量标准非常重要，以确保网络的高效和可靠运行。

 

管理距离（Administrative Distance）是用于评价不同路由来源的优先级的指标。它表示了路由协议的可信度或优先级，用于决定在存在多个路由来源时，选择哪个路由作为最佳路由。较低的管理距离值表示较高的优先级。

在常见的路由协议中，OSPF和EIGRP的管理距离如下：

• OSPF（Open Shortest Path First）的管理距离默认为110。这意味着当存在其他路由协议的路由和OSPF路由时，OSPF路由将具有较低的管理距离，优先级较高。

• EIGRP（Enhanced Interior Gateway Routing Protocol）的管理距离默认为90。与OSPF类似，EIGRP路由具有较低的管理距离，优先级较高，当存在其他路由协议的路由和EIGRP路由时，EIGRP路由将被选择作为最佳路由。

需要注意的是，管理距离是由路由器配置决定的，可以根据需要进行调整。管理员可以手动更改管理距离以修改路由选择的优先级。然而，更改管理距离应该谨慎进行，以避免可能的路由选择问题和网络不稳定性。

 

距离矢量（Distance Vector）路由协议是一种基于跳数（hop count）或者其他度量标准的简单路由协议。它的工作原理是每个路由器维护一个路由表，其中记录了到达目的网络的距离和下一跳的信息。

一些常见的距离矢量路由协议包括：

1. RIP（Routing Information Protocol）：RIP是一种基于跳数的距离矢量路由协议，使用跳数作为度量标准。每个路由器将自己所知道的路由信息发送给相邻的路由器，并通过交换更新消息来更新路由表。RIP具有最大跳数限制，限制了其应用于较大规模的网络。

2. IGRP（Interior Gateway Routing Protocol）：IGRP也是一种距离矢量路由协议，类似于RIP，但提供了更复杂的度量标准，包括带宽、延迟、可靠性和负载等因素。IGRP由思科开发，用于更大规模和复杂的网络环境。

3. EIGRP（Enhanced Interior Gateway Routing Protocol）：EIGRP是一种增强的距离矢量路由协议，结合了距离矢量和链路状态路由协议的特点。它使用复杂的度量标准，包括带宽、延迟、可靠性和负载等因素，并通过交换增量更新来提高路由收敛的效率。

距离矢量路由协议具有一定的局限性，例如收敛速度较慢、网络规模限制和路由环路问题等。因此，在大型复杂的网络中，通常会使用链路状态路由协议来提供更好的可扩展性和灵活性。

 

在路由协议中，信息来源和发现路由是指路由器获取路由信息并学习网络拓扑的过程。

1. 信息来源：路由器可以从不同的信息源获取路由信息，包括以下几种方式：

   • 直连网络：路由器直接连接的网络，可以自动学习和识别直连网络的路由信息。
   • 静态路由：管理员手动配置的路由信息，通过静态路由命令将网络和下一跳关联起来。
   • 动态路由协议：路由器可以通过运行动态路由协议来交换和获取路由信息。动态路由协议根据网络拓扑和度量标准自动计算和更新路由表。

2. 发现路由：路由器通过不同的方法发现路由，以确定如何转发数据包到目标网络。

   • 距离矢量路由协议：距离矢量路由协议使用邻居路由器之间的交互来发现路由。路由器通过交换路由更新消息来了解相邻路由器所知道的路由信息，并更新自己的路由表。
   • 链路状态路由协议：链路状态路由协议中的路由器通过交换链路状态信息来了解整个网络的拓扑。每个路由器都维护一个链路状态数据库（LSDB），其中包含了整个网络的拓扑信息。通过构建最短路径树，每个路由器可以确定到达目标网络的最佳路径。

总的来说，信息来源和发现路由是路由器获取和学习路由信息的过程。通过获取信息来源，并使用路由协议进行路由信息的交换和计算，路由器能够构建并更新自己的路由表，以便转发数据包到目标网络。

 

维护路由信息是指路由器在运行路由协议过程中，对已学习到的路由信息进行更新、验证和维护的过程。这样可以确保路由表中的路由信息始终保持最新和可靠。

在维护路由信息时，路由器执行以下操作：

1. 更新：路由器定期与相邻路由器交换路由更新信息，以获取最新的网络拓扑和路由信息。更新可以基于时间、事件或触发条件进行，以确保及时更新路由表。

2. 验证：路由器会验证接收到的路由更新信息的有效性和一致性。这包括检查路由器之间的邻居关系是否正常、验证更新信息的来源和完整性等。如果发现不一致或异常，路由器可能会采取相应的措施，如丢弃无效的路由或触发重新计算路径。

3. 路由表维护：路由器根据更新的路由信息，更新自己的路由表。这可能涉及添加新的路由、删除过期的路由、更新已有路由的度量值等。路由器会根据路由协议的算法和策略来决定如何更新路由表。

4. 故障检测与恢复：路由器会监测网络中的故障情况，如链路失效、邻居路由器故障等。一旦发现故障，路由器会尽快通知相邻路由器，并进行路由表的调整，以找到备用路径或重新计算路径，以实现网络的快速恢复。

维护路由信息的目的是确保路由器具有最新的、可靠的路由信息，并能够根据网络的变化和故障情况做出及时的调整和决策。这样可以保持网络的稳定性、可用性和高效性，确保数据包能够按照最佳路径进行转发。

 

在路由协议中，存在两种常见的不一致情况：计数至无穷大和路由环路。

1. 计数至无穷大（Count to Infinity）：这种情况发生在距离矢量路由协议中，当路由器之间的链路断开时，路由器会向邻居发送更新信息，指示某个目的网络不可达。但是，由于路由器之间的更新信息需要一定时间来传播，可能会出现一个问题，即路由器在等待更新信息到达时，将目的网络的距离度量值设置为无穷大（通常是16个跃点），表示不可达。然而，当邻居路由器收到该更新信息时，会将该目的网络的距离度量值加1，并向其他邻居发送更新信息，以便将其通知。这样，更新信息会在网络中传播并引起一系列的计数增加。如果没有采取措施来解决这个问题，最终可能导致无穷大计数，即路由器之间循环增加计数，无法收敛到正确的路径。

2. 路由环路（Routing Loop）：路由环路是指路由器之间的路径形成了一个循环，导致数据包在网络中不断循环转发，无法到达目的地。这种情况可能发生在任何类型的路由协议中，包括距离矢量、链路状态和路径矢量协议。当存在路由环路时，数据包将被无限地在环路中传输，造成网络拥塞和资源浪费。为了解决路由环路问题，路由协议采用了一些机制，如距离矢量协议中的拆环（Split Horizon）和毒性逆转（Poison Reverse），以及链路状态协议中的Dijkstra算法来计算最短路径树，以避免环路形成。

解决这些不一致的路由条目问题是路由协议设计中的关键挑战之一。不同的路由协议采用不同的策略和机制来避免或解决这些问题，以确保网络的稳定和可靠性。

 

为了解决计数至无穷大的问题，路由协议通常采用定义最大值的方式来限制距离度量的增加。这样可以防止无限制地增加距离值，从而避免无穷大计数的发生。

在距离矢量路由协议中，常见的解决方案是将距离度量值限制在一个预定义的最大值上。例如，在RIP（Routing Information Protocol）中，最大距离度量值被设置为15跃点。当某个路由器将某个目的网络的距离度量值达到最大值时，它将不再对该目的网络发送更新信息，表示该网络不可达。这样，路由器之间就不会无限地增加距离值，避免了计数至无穷大的问题。

另一种常见的解决方案是使用毒性逆转（Poison Reverse）机制。在毒性逆转中，路由器向邻居发送更新信息时，将不可达的目的网络标记为无穷大距离。这样，邻居路由器收到更新信息后，会立即将该目的网络的距离度量值设置为无穷大，而不是等待原始更新信息到达时再增加距离值。通过毒性逆转机制，可以更快地将不可达信息传播给邻居，加速路由收敛，减少计数至无穷大的发生。

总之，通过定义最大值和使用毒性逆转等机制，路由协议可以有效地解决计数至无穷大的问题，确保路由器能够收敛到正确的路径，并提高网络的稳定性和可靠性。

 

解决路由环路的常见方法是使用水平分割（Split Horizon）机制。水平分割是一种阻止路由器将关于某个网络的更新信息发送回源路由器的技术。

在水平分割中，路由器在将更新信息发送给邻居路由器时，会阻止将该信息发送回原始来源路由器的接口。这样可以防止更新信息在网络中形成环路，并避免由于环路而导致的数据包循环和网络拥塞。

水平分割机制可以通过以下几种方式实现：

1. 禁止发送反向更新：路由器不向原始来源路由器发送更新信息，阻止信息回流。

2. 禁止发送自己已经学习到的路由：路由器不将已经学习到的路由信息发送给原始来源路由器，避免环路的形成。

3. 禁止发送特定的路由：路由器根据特定的条件，如路由器接口或特定的路由标记，禁止将相关的路由信息发送给原始来源路由器。

通过水平分割机制，路由器可以有效地避免路由环路的发生。这提高了路由协议的稳定性和可靠性，确保网络中的数据包能够按照正确的路径进行转发，避免不必要的数据包丢失和网络拥塞。

 

对于解决路由环路问题，除了水平分割机制之外，还可以使用路由毒化（Route Poisoning）和毒性反转（Poison Reverse）技术。

1. 路由毒化：路由毒化是一种通过将有关环路的路由条目的距离值设置为无限大来解决路由环路的方法。当路由器检测到某个路由发生环路时，它会将该路由的距离值设置为无限大（通常表示为16个跳数或无穷大）。这样做的效果是，其他路由器收到该更新信息后，会将该路由视为不可达，从而避免继续使用该路由形成环路。

2. 毒性反转：毒性反转是一种改进的路由毒化技术，用于更有效地解决路由环路问题。在毒性反转中，当一个路由器检测到发生环路时，不仅将受影响的路由的距离值设置为无限大，还会将该路由的下一跳（下一跳路由器）设置为自身。这样，其他路由器在收到更新信息时，会知道该路由的下一跳是环路的源头路由器，从而避免将数据包发送回环路。

通过使用路由毒化和毒性反转技术，路由器可以快速识别和解决路由环路问题。这些技术在路由协议中起到重要的作用，确保网络中的路由信息能够稳定、可靠地传播，避免数据包在网络中无限循环并引发问题。

 

抑制计时器（Hold-down Timer）是一种用于解决路由环路问题的机制。它用于在更新路由信息时对某些路由条目的接受进行暂时性的禁止，以避免在网络中出现不稳定的路由信息传播。

当路由器收到某个路由条目的更新信息时，如果发现该路由条目的下一跳与自身相同（即存在环路），路由器会启动抑制计时器。在抑制计时器的时间内，路由器将暂时停止接受该路由条目的任何更新信息。这样做可以防止网络中的不稳定路由信息反复传播和更新，从而避免形成路由环路。

抑制计时器的时间通常设定为较长的值，以确保足够的时间来稳定网络并收敛路由信息。在抑制计时器的时间内，路由器将维持先前接收到的路由信息，并尝试通过其他路径进行转发。一旦抑制计时器超时，路由器可以重新接受该路由条目的更新信息，以便更新网络的路由表。

抑制计时器是一种简单但有效的机制，可用于解决路由环路问题。它可以减少不稳定路由信息的传播，提高网络的稳定性和收敛性。然而，需要注意的是，抑制计时器可能会延迟网络的收敛时间，因此在配置抑制计时器时需要根据网络规模和环境需求进行适当的调整。

 

ACL（Access Control List）用于控制网络设备上的流量流向和访问权限。以下是一些使用ACL的主要原因：

1. 安全性：ACL可用于实施网络安全策略，限制对网络资源的访问和保护敏感数据。通过允许或拒绝特定IP地址、协议、端口或应用程序的流量，ACL可以帮助防止未经授权的访问、网络攻击和数据泄露。

2. 流量控制：ACL可以帮助管理和控制网络流量。通过配置ACL规则，可以限制特定用户、设备或应用程序的流量，以避免网络拥塞、资源过载或服务质量问题。ACL还可用于限制特定类型的流量（如P2P或媒体流）或实施带宽管理策略。

3. 资源保护：ACL可用于限制对特定网络资源的访问，以确保资源的合理使用和保护。例如，通过ACL可以限制对特定服务器、数据库或存储设备的访问权限，防止未经授权的用户或设备占用资源或进行恶意操作。

4. 网络分割：ACL可用于划分网络，实现逻辑隔离和安全分区。通过配置ACL规则，可以将网络划分为多个子网或虚拟局域网（VLAN），并限制子网或VLAN之间的通信，以提高网络安全性和性能。

5. 合规性：在某些情况下，根据法规、政策或合同要求，需要实施特定的访问控制规则。ACL可用于满足合规性要求，并确保网络操作符合相关标准和指南。

总而言之，使用ACL可以增强网络的安全性、流量控制、资源保护和合规性。它是网络管理和安全策略中的重要工具，帮助管理员实施有效的访问控制和流量管理策略。

 

ACL（Access Control List）可以应用于过滤网络流量，以允许或拒绝特定类型的数据包通过网络设备。以下是ACL在过滤方面的常见应用：

1. 网络访问控制：ACL可用于控制对网络资源的访问权限。通过配置ACL规则，可以限制特定IP地址、子网、协议、端口或应用程序的流量。例如，可以创建ACL规则以禁止外部IP地址访问内部服务器或限制特定子网对某些资源的访问。

2. 流量过滤：ACL可用于过滤特定类型的流量，以实现网络流量的控制和管理。通过定义ACL规则，可以允许或拒绝特定协议、端口或应用程序的流量通过网络设备。例如，可以创建ACL规则以阻止P2P流量、限制媒体流量的带宽或禁用特定协议（如ICMP）。

3. 安全策略实施：ACL可用于实施网络安全策略，以保护网络免受潜在的威胁和攻击。通过配置ACL规则，可以阻止具有恶意意图的流量，例如拒绝来自已知恶意IP地址的访问或阻止特定类型的网络攻击（如DDoS攻击）。

4. 用户访问控制：ACL可用于限制用户对网络资源的访问权限。通过配置ACL规则，可以控制特定用户或用户组对特定资源的访问。例如，可以创建ACL规则以限制某些用户对敏感文件或数据库的读取或写入权限。

5. 服务质量（QoS）控制：ACL可用于实施QoS策略，以优化网络流量和资源分配。通过配置ACL规则，可以对流量进行分类、标记和控制，以确保关键应用程序的优先级和带宽要求得到满足。

ACL的过滤功能使得管理员能够根据特定需求和安全策略对网络流量进行精确控制和管理。通过合理配置ACL规则，可以提高网络的安全性、性能和资源利用效率。

 

 

ACL（Access Control List）可以用于对网络流量进行分类，根据特定的条件对数据包进行分组和处理。以下是ACL在分类方面的应用：

1. 服务质量（QoS）分类：ACL可用于对流量进行分类，以实施QoS策略并为不同类型的流量分配不同的优先级和带宽。通过配置ACL规则，可以根据流量的源IP地址、目标IP地址、协议、端口等特征将流量分类为不同的类别，然后为每个类别应用特定的QoS策略，如优先级队列、带宽限制或排队机制。

2. 数据包标记：ACL可用于对数据包进行标记，以便后续处理和识别。通过配置ACL规则，可以根据特定的条件对数据包进行匹配，并为匹配的数据包设置特定的标记或标签。这些标记可以用于后续的路由、策略路由、QoS、安全策略等处理，以实现对数据包的精确控制和管理。

3. 流量分类和策略路由：ACL可用于将流量分为不同的分类，并根据分类将流量导向特定的路径或目的地。通过配置ACL规则，可以根据源IP地址、目标IP地址、协议、端口等条件将流量分类，并为每个分类定义特定的路由策略。这使得管理员可以根据不同的流量需求和目标，将流量导向适当的路径或目的地，实现网络流量的灵活控制和路由。

4. 安全策略分类：ACL可用于对网络流量进行安全策略的分类和处理。通过配置ACL规则，可以根据特定的条件对流量进行分类，如源IP地址、目标IP地址、协议、端口等，然后为每个分类应用适当的安全策略。这可以包括允许或拒绝特定类型的流量，实施入侵检测和防火墙规则，以及防止恶意流量进入或离开网络。

ACL的分类功能使得管理员能够根据流量的特征和需求对网络进行细粒度的控制和管理。通过合理配置ACL规则，可以实现对流量的优化、安全性的提升以及网络资源的有效利用。

 

出站ACL用于控制从网络中的特定设备发送的流量，可以根据需求拒绝或允许特定类型的流量。以下是一般的测试步骤：

1. 确定测试目标：确定要测试的特定设备或主机，以及要应用ACL的出站接口。

2. 定义ACL规则：根据需求定义ACL规则，确定要拒绝或允许的流量类型。ACL规则可以基于源IP地址、目标IP地址、协议、端口等条件进行定义。

3. 创建ACL：在相关设备上创建ACL，并将定义的ACL规则应用到出站接口。具体的步骤和命令可能因设备类型和操作系统而异。

4. 配置拒绝或允许规则：根据测试目标和需求，将ACL规则配置为拒绝或允许特定类型的流量。例如，如果要拒绝某个特定IP地址的流量，可以配置ACL规则拒绝该IP地址的流量。

5. 激活ACL：启用创建的ACL，使其生效。根据设备和操作系统，可能需要使用特定的命令或配置步骤来激活ACL。

6. 进行测试：在测试目标设备上产生相应的流量，并观察ACL的效果。根据ACL规则的定义，流量应该被拒绝或允许。

7. 验证测试结果：通过观察流量是否按照ACL规则进行拒绝或允许来验证测试结果。可以使用网络监控工具或设备日志来检查流量是否被正确地过滤或允许通过。

8. 调整和优化：根据测试结果，根据实际需求进行ACL规则的调整和优化。可能需要添加、修改或删除ACL规则，以满足网络安全和流量控制的要求。

请注意，具体的ACL配置和测试步骤可能因设备型号、操作系统和网络环境而有所不同。建议参考设备的用户手册、操作指南或相关文档，以获得适用于您设备的具体配置和测试指导。

 

 

标准ACL（Standard Access Control List）和扩展ACL（Extended Access Control List）是两种常见的ACL类型，用于在网络设备上控制流量的过滤和管理。它们有以下特点和应用场景：

标准ACL：

• 标准ACL基于源IP地址进行过滤，只能匹配源IP地址，无法匹配其他条件如目标IP地址、协议、端口等。
• 标准ACL的编号范围是1-99和1300-1999。
• 标准ACL适用于简单的流量过滤需求，例如限制特定IP地址或IP地址范围的流量。
• 标准ACL应该应用在靠近目标网络的位置，以减少对流量的处理开销。

扩展ACL：

• 扩展ACL可以基于源IP地址、目标IP地址、协议、端口等多个条件进行过滤，提供更灵活的流量控制能力。
• 扩展ACL的编号范围是100-199和2000-2699。
• 扩展ACL适用于复杂的流量过滤需求，例如根据源和目标IP地址、协议类型和端口号来控制流量。
• 扩展ACL应该应用在靠近源网络的位置，以尽早过滤不需要的流量，减轻网络设备的负担。

总结： 标准ACL适用于简单的源IP地址过滤需求，而扩展ACL则提供更丰富的条件匹配能力。选择使用标准ACL还是扩展ACL取决于实际的网络流量过滤需求，根据需要进行选择和配置。

请注意，具体的ACL配置和命令可能因设备类型、操作系统和版本而有所不同。建议参考设备的官方文档或相关指南，以获取适用于您设备的具体ACL配置和使用方法。

 

配置ACL时的一些指导原则和最佳实践：

• 标准或扩展：根据需要过滤的内容选择标准ACL或扩展ACL。标准ACL通常基于源IP地址，而扩展ACL可以基于更多的条件，如目标IP地址、协议类型、端口号等。

• 每个接口、协议、方向：每个接口、协议和方向只允许配置一个ACL。这意味着每个接口的入站和出站流量只能有一个ACL应用。

• 顺序控制：ACL语句的顺序非常重要，最具体的语句应位于列表顶部。ACL将按照配置的顺序进行测试，因此将最具体的语句放在前面可以确保精确匹配和过滤。

• 隐式拒绝：每个ACL列表需要至少包含一条permit语句，以防止隐式拒绝所有其他流量。这意味着如果没有匹配任何ACL语句，将隐式拒绝该流量。

• 应用方式：在全局范围内创建ACL，并将其应用于适当的接口和流量方向。ACL可以应用于入站流量或出站流量，具体取决于要过滤的流量类型和需求。

• 过滤位置：将扩展ACL靠近源地址，将标准ACL靠近目的地址。这样做可以尽早过滤掉不符合条件的流量，减轻路由器的负担。

 

To configure static routes to connect two PCs across multiple networks using three routers, you would need to configure the appropriate static routes on each router. Here's a step-by-step guide on how to do this:

Assuming the following network topology:

PC1 -- Router1 -- Router2 -- Router3 -- PC2

 

• Assign IP addresses to each interface on the routers and PCs based on the respective networks. For example:

Use these setting    
PC1: IP address 172.168.1.2/24, default gateway 172168.1.1
    PC2: IP address 192.168.1.2/24, default gateway 192.168.1.1
    Router1:
        Interface connecting to PC1: IP address 172.168.1.1/24
        Interface connecting to Router2: IP address 10.1.1.1/24
    Router2:
        Interface connecting to Router1: IP address 10.1.1.2/24
        Interface connecting to Router3: IP address 10.2.2.2/24
    Router3:
        Interface connecting to Router2: IP address 10.2.2.3/24
        Interface connecting to PC2: IP address 192.168.1.1/24

To configure the static routes for the given network setup, you would need to configure the appropriate static routes on each router. Here's how you can do it:

• Assign IP addresses to each interface on the routers and PCs based on the given network setup.

• Configure static routes on Router1:

  arduino
• Router1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2

• Configure static routes on Router2:

  arduino
• Router2(config)# ip route 172.168.1.0 255.255.255.0 10.1.1.1

  Router2(config)# ip route 192.168.1.0 255.255.255.0 10.2.2.3

• Configure static routes on Router3:

  arduino

4. Router3(config)# ip route 172.168.1.0 255.255.255.0 10.2.2.2

By configuring these static routes, you are specifying the next hop for each destination network. This allows the routers to forward packets between networks and enable communication between PC1 and PC2 across the interconnected routers.

Make sure to enable IP routing on each router using the ip routing command in global configuration mode.

Note: The IP addresses in the given network setup are inconsistent. PC1 has an IP address of 172.168.1.2/24, while PC2 has an IP address of 192.168.1.2/24. Please ensure that the IP addresses are correct and consistent across the devices.

 

ChatGPT给出的动态路由配置

Router1(config)# router rip

Router1(config-router)# network 172.168.1.0

Router1(config-router)# network 10.1.1.0

 

Router2(config)# router rip

Router2(config-router)# network 10.1.1.0

Router2(config-router)# network 10.2.2.0

 

Router3(config)# router rip

Router3(config-router)# network 10.2.2.0

Router3(config-router)# network 192.168.1.0

 

 

2台PC，3个路由器，一共5台设备，跨越了4个网段。

如果配置静态路由的话，就会很麻烦。

因为每台路由器，只有2个网段，就意味着每个路由器都需要给其他三个网段配置路由，并且还有正向和反向的区别。

 

第一个路由器

interface GigabitEthernet0/0
 ip address 172.168.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 10.1.1.1 255.255.255.0
 duplex auto
 speed auto

Router#show ip interface brief  查看接口状态
Interface              IP-Address      OK? Method Status                Protocol
 
GigabitEthernet0/0     172.168.1.1     YES manual up                    up
 
GigabitEthernet0/1     10.1.1.1        YES manual up                    up

 

第二个路由器

interface GigabitEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 10.2.2.2 255.255.255.0
 duplex auto
 speed auto

 

第三台路由器

interface GigabitEthernet0/0
 ip address 10.2.2.3 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto

 

配置第一台路由器的动态路由

en

conf t

router rip

version 2

network 172.16.0.0

network 10.0.0.0

 

配置第二个路由器

network 10.0.0.0

 

配置第三个路由器

network 192.168.1.0

network 10.0.0.0

 

配置完成后，用PC1去拼各个interface的IP。然后查看每个路由器里面生成的路由表

第一个路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks   第一个网段，3个子网，2个不同的子网掩码24和32。一条RIP路由
C       10.1.1.0/24 is directly connected, GigabitEthernet0/1
L       10.1.1.1/32 is directly connected, GigabitEthernet0/1
R       10.2.2.0/24 [120/1] via 10.1.1.2, 00:00:22, GigabitEthernet0/1
     172.168.0.0/16 is variably subnetted, 2 subnets, 2 masks  第二个网段，2个子网，2个不通过的子网掩码。一条RIP路由
C       172.168.1.0/24 is directly connected, GigabitEthernet0/0
L       172.168.1.1/32 is directly connected, GigabitEthernet0/0
R    192.168.1.0/24 [120/2] via 10.1.1.2, 00:00:22, GigabitEthernet0/1

 

第二个路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks  两条RIP路由
C       10.1.1.0/24 is directly connected, GigabitEthernet0/0
L       10.1.1.2/32 is directly connected, GigabitEthernet0/0
C       10.2.2.0/24 is directly connected, GigabitEthernet0/1
L       10.2.2.2/32 is directly connected, GigabitEthernet0/1
R    172.168.0.0/16 [120/1] via 10.1.1.1, 00:00:04, GigabitEthernet0/0
R    192.168.1.0/24 [120/1] via 10.2.2.3, 00:00:04, GigabitEthernet0/1

 

第三个路由器

Router#show ip route 
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks   一共2个RIP
R       10.1.1.0/24 [120/1] via 10.2.2.2, 00:00:04, GigabitEthernet0/0
C       10.2.2.0/24 is directly connected, GigabitEthernet0/0
L       10.2.2.3/32 is directly connected, GigabitEthernet0/0
R    172.168.0.0/16 [120/2] via 10.2.2.2, 00:00:04, GigabitEthernet0/0
     192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, GigabitEthernet0/1
L       192.168.1.1/32 is directly connected, GigabitEthernet0/1

 

 

ACL配置实战

配置路由器A上的ACL策略

1.AC1只允许除192.168.1.2的设备访问服务器1，配置在gig0/0.1

2.AC2只允许192.168.1.2的设备访问服务器1，配置在gig0/0.2

3.ACL101只允许192.168.2.2访问服务器1的www服务，配置在gig0/1

• 标准ACL的编号范围是1-99和1300-1999。  标准的ACL只需要指定source

• 扩展ACL的编号范围是100-199和2000-2699。 扩展的既需要指定source，也需要指定target

所以上面的1和2是标准ACL，而3是扩展ACL

Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list

 

第一个操作

access-list 1 deny host 192.168.1.2 这个只是创建了acl策略，并没有应用

int g0/0.1

ip access-group 1 

 

Router(config-subif)#do sho ip access-list
Standard IP access list 1
    deny host 192.168.1.2 (4 match(es))

标准ACL要放在目标位置，而不是源位置，否则PC1也会无法和PC2进行通讯。不过这个实验，暂时先不管这个

正常来说，配置应该配置在路由器A的g0/1上，并且是outbound规则。

 

第二个操作

access-list 2 permit host 192.168.2.2

access-list 2 deny any

只允许的话，添加了允许之后，需要deny其他的

int gig0/0.2

ip access-group 2 in 

 

Router#show ip access-lists 
Standard IP access list 1
    deny host 192.168.1.2 (8 match(es))
Standard IP access list 2
    permit host 192.168.2.2
    deny any

 

第三个操作

access-list 101 permit tcp host 192.168.2.2 host 192.168.3.2 eq 80

int gig0/1

ip access-group 101 out

Router#show ip access-lists 
Standard IP access list 1
    deny host 192.168.1.2 (8 match(es))
Standard IP access list 2
    permit host 192.168.2.2
    deny any
Extended IP access list 101
    permit tcp host 192.168.2.2 host 192.168.3.2 eq www

 

最后配置完成，查看路由器A的配置

interface GigabitEthernet0/0.1
 encapsulation dot1Q 2
 ip address 192.168.1.1 255.255.255.0
 ip access-group 1 in
!
interface GigabitEthernet0/0.2
 encapsulation dot1Q 3
 ip address 192.168.2.1 255.255.255.0
 ip access-group 2 in
!
interface GigabitEthernet0/1
 ip address 192.168.3.1 255.255.255.0
 ip access-group 101 out
 duplex auto
 speed auto

 

access-list 1 deny host 192.168.1.2
access-list 2 permit host 192.168.2.2
access-list 101 permit tcp host 192.168.2.2 host 192.168.3.2 eq www

 

Since there is no explicit deny statement, the default behavior is to deny any traffic that does not match the permit statement. This means that any traffic from other sources (other than 192.168.2.2) will be implicitly denied.