第一章的任务
1.1 路由器初始配置
a:描述路由器的主要功能和特性。
b:使用 CLI 为路由器配置基本设置,使其在两个直连网络之间提供路由。
c:检验直连到路由器的两个网络之间的连接。
1.2 路由决策
d:解释在接口之间交换数据包时路由器使用的封装和解封过程。
e:解释路由器的路径确定功能。
1.3 路由器操作
f:解释直连网络的路由表条目。
g:解释路由器如何为直连网络构建路由表。
h:解释路由器如何使用静态路由构建路由表。
L:解释路由器如何使用动态路由协议构建路由表。
网络已经对我们的生活产生了重大影响。 它们改变了我们的生活、工作和娱乐方式。
网络使我们能够以前所未有的方式进行通信、协作和互动。 我们可以通过各种形式使用网络,其中包括 Web 应用程序、IP 电话、视频会议、互动游戏、电子商务、教育以及其他形式。
在讨论网络时会涉及许多关键结构和与性能相关的特征:
拓扑 - 存在物理拓扑和逻辑拓扑。 物理拓扑是电缆、网络设备和终端系统的布局。 它说明了网络设备实际上是如何使用导线和电缆实现互连的。 逻辑拓扑是数据在网络中传输的路径。 它说明了网络设备如何连接到网络用户。
速度 - 是衡量网络中给定链路的数据传输速率的指标,以每秒位数 (b/s) 表示。
成本 - 成本指购买网络组件及安装和维护网络的整体费用。
安全性 - 安全性是指网络的安全程度,包括通过网络传输的信息的安全性。 安全主题非常重要,而技术和实践也在不断发展。 每当执行影响网络的操作时都需要考虑安全性。
可用性 - 可用性是衡量需要网络时网络可用概率的指标。
可扩展性 - 可扩展性指网络容纳更多用户和满足更多数据传输要求的能力。 如果对网络设计进行优化后只能满足当前需求,那么若要满足网络增长所产生的新需求,难度就会很大,且成本高昂。
可靠性 - 可靠性指构成网络的路由器、交换机、PC 和服务器等组件的可靠程度。 可靠性通常用故障概率或平均无故障工作时间 (MTBF) 来衡量。
这些特征和属性提供了比较不同网络解决方案的方法。
注意:虽然在涉及网络带宽时经常使用“速度”这一术语,但它从技术上来讲并不精确。 位传输的实际速度在通过同一介质时并不改变。 产生带宽差异的原因在于每秒传输的位的数量,而不在于它们在有线或无线介质中传输的速度。
为什么需要路由
路由器的作用就是将各个网络彼此连接起来,负责网络间流量的路由。
路由器的作用就是将各个网络彼此连接起来。
如果没有路由器确定通往目的地的最佳路径并将流量转发到路径沿途的下一路由器,就不可能实现网络之间的通信。 路由器负责网络间流量的路由。
路由器负责高效传输这些数据包。 在很大程度上,网际通信的效率取决于路由器的性能,即取决于路由器是否能以最有效的方式转发数据包。
路由器实质上是一种特殊的计算机(具有操作系统(os),中央处理器(CPU),内存和存储(RAM、ROM、NVRAM、闪存)
路由器实质上是一种特殊的计算机。 它要求 CPU 和内存临时和永久存储数据,以便执行操作系统指令,例如系统初始化、路由功能和交换功能。
随机访问存储器 (RAM) - 提供各种应用程序和进程的临时存储,包括运行的 IOS、运行配置文件、各种表格(如 IP 路由表和以太网 ARP 表)以及数据包处理的缓冲区。 RAM 称为易失性存储器,因为其内容在电源关闭后将会丢失。
只读存储器 (ROM) - 提供启动说明、基本诊断软件和有限的 IOS 的永久存储,以防路由器无法加载功能完整的 IOS。 ROM 属于固件,称为非易失性存储器,当电源关闭时,其内容不会丢失。
非易失性随机访问存储器 (NVRAM) - 提供启动配置文件 (startup-config) 的永久存储。 NVRAM 是非易失性的,当电源关闭时,其内容不会丢失。
闪存 - 提供 IOS 和其他相关系统文件的永久性存储。 启动期间,会将 IOS 从闪存复制到 RAM。 闪存是非易失性的,当电源关闭时,其内容不会丢失。
与计算机不同的是,路由器没有视频适配器或声卡适配器。 相反,路由器配有专用端口和网络接口卡,用于将设备互连到其他网络。
路由器互联网络:
一台路由器可以连接多个网络,也就是说,它具有多个接口,而每个接口属于不同的 IP 网络。
路由器通常利用单独的接口连接每个网络。 这些接口用于连接局域网 (LAN) 和广域网 (WAN)。
路由器隔离广播域
路由器选择最佳路径:
路由器的主要功能是:
确定发送数据包的最佳路径
将数据包转发到其目的地
路由器使用其路由表来确定转发数据包的最佳路径。 当路由器收到数据包时,它会检查数据包的目的地址并使用路由表来查找通向该网络的最佳路径。 路由表还包括用于转发每个已知网络的数据包的接口。 当找到匹配条目时,路由器就会将数据包封装到传出接口或送出接口的数据链路帧中,并将数据包转发到其目的地。
可以使路由器接收封装到一种类型的数据链路帧中的数据包,而从使用另一种类型数据链路帧的接口将数据包转发出去。 例如,路由器可能会在以太网接口接收数据包,但必须从配置了点对点协议 (PPP) 的接口将数据包转发出去。 数据链路封装取决于路由器接口的类型及其连接的介质类型。 路由器可以连接的不同数据链路技术包括以太网、PPP、帧中继、DSL、电缆和无线(802.11,蓝牙)。
路由器的责任是在其路由表中查找目的网络,然后将数据包转发到目的地。
注意:路由器使用静态路由和动态路由协议来获知远程网络和构建路由表。
路由器支持三种数据包转发机制:
进程交换 - 一种较早版本的数据包转发机制,在思科路由器上仍然可用。 当数据包到达某个接口时,将其转发到控制平面,在控制平面上 CPU 将目的地址与其路由表中的条目进行匹配,然后确定送出接口并转发数据包。 重要的是要了解路由器会对每个数据包执行此操作,即使数据包流的目的地是相同的。 这种进程交换机制非常慢,在现代网络中很少实施。
快速交换 - 这是一种常见的数据包转发机制,使用快速交换缓存来存储下一跳信息。 当数据包到达某个接口时,将其转发到控制平面,在控制平面上 CPU 将在快速交换缓存中搜索匹配项。 如果不存在匹配项,则数据包采用进程交换并将转发到送出接口。 数据包的流向信息也会存储到快速交换缓存中。 如果通往同一目的地的另一个数据包到达接口,则缓存中的下一跳信息可以重复使用,无需 CPU 的干预。
思科快速转发 (CEF) - CEF 是最近推出和首选使用的 Cisco IOS 数据包转发机制。 与快速交换相似,CEF 将构建转发信息库 (FIB) 和邻接表。 但是,表中的条目不是像快速交换一样由数据包触发,而是由更改触发,例如当网络拓扑发生更改时。 因此,当网络融合后,FIB 和邻接表将包含路由器在转发数据包时必须考虑的所有信息。 FIB 包含预先计算的反向查找,路由的下一跳信息(包括接口和第 2 层信息)。 思科快速转发是思科路由器上最快且首选的转发机制。
假定由五个数据包组成的流量都发往同一目的地。
1.使用进程交换,则每个数据包都必须由 CPU 单独处理。 将其与快速交换进行对比
2.使用快速交换时请注意一下,如何只让流量的第一个数据包进行进程交换并添加到快速交换缓冲中。 而使之后的四个数据包根据快速交换缓存中的信息得到快速处理。
3.当网络融合后,CEF 将构建 FIB 和邻接表。 所有的五个数据包都将在数据平面中得到快速处理。
一个用于描述这三种数据包转发机制的常见比喻如下:
进程交换通过数学计算来解决每个问题,即使是完全相同的问题。
快速交换通过一次数学计算并为后续相同问题记忆答案,以解决问题。
CEF 事先在电子表格中解决每个可能出现的问题。
默认网关:
要启用网络访问,必须为设备配置 IP 地址信息,以确定合适的:
IP 地址 - 标识本地网络中的唯一主机。
子网掩码 - 标识主机可以使用哪个网络子网进行通信。
默认网关 - 标识当目的地不在同一本地网络子网中时将数据包发送到哪个路由器。
当主机向同一 IP 网络中的设备发送数据包时,只需将数据包从主机接口转发到目的设备。
当主机向不同 IP 网络中的设备发送数据包时,则数据包将转发到默认网关,因为主机设备不能直接与本地网络之外的设备通信。 默认网关是将流量从本地网络路由到远程网络设备的目的地。 它通常用于将本地网络连接到 Internet。
默认网关通常是路由器上与本地网络连接的接口地址。 路由器将维护所有相连网络的路由表条目以及远程网络的条目,并确定到达这些目的地的最佳路径。
例如,如果 PC1 向位于 176.16.1.99 上的 Web 服务器发送数据包,则它将会发现 Web 服务器不在本地网络中,因此必须将数据包转发到其默认网关的介质访问控制 (MAC) 地址。 数据包协议数据单元 (PDU) 用于标识源 IP 和 MAC 地址以及目的 IP 和 MAC 地址。
注意:路由器通常还会配置自己的默认网关。 这有时称为最后选用网关。
拓扑图 - 提供一个视觉参考,指明物理连接和第 3 层逻辑寻址。 通常使用软件(如 Microsoft Visio)创建。
寻址表 - 一个包含设备名称、接口、IPv1 地址、子网掩码和默认网关地址的表。
静态 - 为主机手动分配正确的 IP 地址、子网掩码和默认网关。 还可以配置 DNS 服务器 IP 地址。
动态 - 由服务器使用动态主机配置协议 (DHCP) 提供的 IP 地址信息。 DHCP 服务器提供终端设备的有效 IP 地址、子网掩码和默认网关。 其他信息可由服务器提供。
配置路由器的基本配置:
当配置思科交换机或路由器时,应首先执行以下基本任务:
为设备命名 - 将其与其他路由器区分开来。
安全管理访问 - 保护特权执行、用户执行和 Telnet 访问,并对密码进行最高级别的加密。
配置标语 - 提供对未授权访问的法律通知。
关闭DNS解析:no ip domain-lookup (全局模式)
超时连接:logging syn (vty,console模式)
光标跟踪:exec-timeout 0 0 (vty,console模式)
与串行电缆端连接的串行接口(标记为 DCE)必须使用 clock rate 命令进行配置
还可以为接口配置简短说明。 建议为每个接口配置说明。 说明文字最长不能超过 240 个字符
要启用接口,则必须使用 no shutdown 命令将其激活(各层激活)
注意:随时保存路由器上的更改并验证基本配置和路由器操作。
环回接口:(测试与管理)
环回接口是路由器内部的逻辑接口。
不会将其分配给物理端口,因此也永远无法将其连接到任何其他设备。
它被视为是一个软件接口,只要路由器运行正常,该接口就会自动处于活动状态。
在测试和管理 Cisco IOS 设备时,环回接口非常有用,因为它将确保至少有一个接口始终可用。
开放最短路径优先 (OSPF) 路由进程。 通过启用环回接口,路由器将使用始终可用的环回接口地址进行身份识别,而不使用为可能会中断的物理端口分配的 IP 地址。
注:可以在路由器上启用多个环回接口。 每个环回接口的 IPv4 地址都必须是唯一的
show ipv6 interface brief 命令显示了每个接口的摘要
show ipv6 interface gigabitethernet 0/0 命令的输出显示了接口状态和属于该接口的所有 IPv6 地址
show ipv6 route - 显示存储在 RAM 中的 IPv6 路由表的内容。
过滤show命令输出:
terminal length number 命令来指定要显示的行数
默认情况下,显示出 24 行后会暂停;零值 (0) 可以防止路由器在输出屏幕之间暂停。
SHOW + | 过滤参数和过滤表达式
section部分 - 显示从过滤表达式开始的整个部分
include包括 - 包括符合过滤表达式的所有输出行
exclude排除 - 排除符合过滤表达式的所有输出行
begin开始 - 从符合过滤表达式的行开始,显示从某个点开始的所有输出行
show history默认历史记录缓冲区中记录最新输入的 10 条命令
terminal history size
路由器的交换功能:
路由器的主要功能是将数据包转发到目的地
路由器的主要功能是将数据包转发到目的地。 这可通过使用交换功能来实现,路由器使用此过程在一个接口上接受数据包并将其从另一接口转发出去。 交换功能的重要责任是将数据包封装成适用于传出数据链路的正确数据帧类型。
注意:在本文中,术语“交换”的本意就是指将数据包从源传输到目的地,不应与第 2 层交换功能相混淆。
当路由器通过路径决定功能确定送出接口之后,必须将数据包封装成送出接口的数据链路帧。
对于从一个网络传入,以另一个网络为目的地的数据包,路由器会进行哪些处理? 路由器主要执行以下三个步骤:
第 1 步: 通过删除第 2 层帧头和帧尾来解封第 3 层数据包。
第 2 步: 检查 IP 数据包的目的 IP 地址以便从路由表中选择最佳路径。
第 3 步: 如果路由器找到通往目的地的路径,则它会将第 3 层数据包封装成新的第 2 层帧并将此帧从送出接口转发出去。
设备具有第 3 层 IPv4 地址,而以太网接口具有第 2 层数据链路地址。 例如,为 PC1 配置了 IPv4 地址 192.168.1.10 和一个示例 MAC 地址 0A-10。 在数据包从源设备到最终目的设备的传输过程中,第 3 层 IP 地址始终不会发生变化。 但是,随着每台路由器不断将数据包解封、然后又重新封装成新数据帧,该数据包的第 2 层数据链路地址在每一跳都会发生变化。 数据包很有可能会被封装成与收到时不同的另一种第 2 层帧。 例如,以太网封装的帧可能会由 FastEthernet 接口上的路由器接收,然后进行处理,将其作为以点对点协议 (PPP) 封装的帧从串行接口转发出去。
路由决策:
路由器的主要功能是确定用于发送数据包的最佳路径。 为决定最佳路径,路由器需要在其路由表中搜索能够匹配数据包目的 IP 地址的网络地址。
路由表搜索将产生以下三个路径决定之一:
直连网络 - 如果数据包目的 IP 地址属于与路由器接口直连的网络中的设备,则该数据包将直接转发至目的设备。 这表示数据包的目的 IP 地址是与该路由器接口处于同一网络中的主机地址。
远程网络 - 如果数据包的目的 IP 地址属于远程网络,则该数据包将转发至另一台路由器。 只有将数据包转发至另一台路由器才能到达远程网络。
无法决定路由 - 如果数据包的目的 IP 地址既不属于直连网络也不属于远程网络,则路由器将确定是否存在最后选用网关。 当路由器上配置了默认路由时,就会设置最后选用网关。 如果有默认路由,则将数据包转发到最后选用网关。 如果路由器没有默认路由,则丢弃该数据包。 如果已将数据包丢弃,则路由器会向数据包的源 IP 地址发送一个 ICMP 无法到达报文。
图中的逻辑流程图演示了路由器数据包转发决策过程。
图(路由决策的图)
最佳路径:
路由协议根据其用来确定网络距离的值或度量来选择最佳路径。
度量是用于衡量给定网络距离的量化值。 指向网络的路径中,度量最低的路径即为最佳路径。
一些动态协议以及度量:
- 路由信息协议 (RIP) - 跳数
- 开放最短路径优先 (OSPF) - 根据源到目的地之间的累积带宽计算出的思科成本
- 增强型内部网关路由协议 (EIGRP) - 带宽、延迟、负载、可靠性
负载均衡(负载分担):
当路由器有两个或多个路径通往目的地的成本度量都相等时,路由器会同时使用两条路径转发数据包。 这称为等价负载均衡。
如果配置正确,负载均衡能够提高网络的效率和性能。 等价负载均衡可配置为使用动态路由协议和静态路由
管理距离:
AD 代表路由的“可信度”;AD 越低,路由来源的可信度越高。
0为最信任,255为最不信任即没有从这条线路的任何流量通过。
默认管理距离AD
直接:0
静态:1
EIGRP:90
OSPF:110
RIP:120
远程网络路由条目:
该条目确定以下信息:
路由来源 - 确定路由的获取方式。
目的网络 - 确定远程网络的地址。
管理距离 - 确定路由来源的可靠性。 较低的值表示首选路由来源。
度量 - 确定到达远程网络分配值。 较低的值表示首选路由。
下一跳 - 用于确定转发数据包的下一路由器的 IPv4 地址。
路由时间戳 - 用于确定自从获取路由之后经过的时间。
传出接口 - 确定用于将数据包转发至最终目的地的出接口。
路径选择:
如何判断新的线路:
假如1个router收到远端的2条路由更新,router将检查AD,AD值低的将被选为新路线存放于路由表中。假如它们拥有相同的AD,将比较它们的度,度低的将作为新路线,假如它们的AD和度都一样,那么就把这2条线路做负载均衡。
路由表:
路由器的路由表存储下列信息:
直连路由 - 这些路由来自于活动的路由器接口。 当接口配置了 IP 地址并激活时,路由器会添加直连路由。
远程路由 - 这些路由来自连接到其他路由器的远程网络。 通向这些网络的路由可以静态配置,也可以使用动态路由协议进行动态配置。
路由表是保存在 RAM 中的数据文件
路由表来源:
路由表中的条目可按以下方式添加:
本地路由接口 - 当接口已配置并处于活动状态时添加。 该条目只在使用 IPv4 路由的 IOS 15 或更新版本中和使用 IPv6 路由的所有 IOS 版本中显示。
直连接口 - 当接口已配置并处于活动状态时添加到路由表中。
静态路由 - 当路由已手动配置而且送出接口处于活动状态时添加。
动态路由协议 - 当实施了用于动态获知网络的路由协议(如 EIGRP 或 OSPF)并且网络已确定时添加。
路由表条目的来源由代码来标识。 代码将标识获取路由的方式。 例如,常用代码包括:
L - 用于标识为路由器接口分配的地址。 这使路由器能够有效确定何时收到的数据包是指向该接口的,而不必进行转发。
C - 用于标识直连网络。
S - 用于标识手动创建的通往特定网络的静态路由。
D - 用于标识使用 EIGRP 从另一台路由器动态获取的网络。
O - 用于标识使用 OSPF 路由协议从另一台路由器动态获取的网络。
新部署的路由器不含任何配置接口,使用空的路由表。
当接口已启用时,该接口所在的网络就会作为直连网络而加入路由表。
动态路由:
路由器使用动态路由协议共享有关远程网络连通性和状态的信息。
路由协议发现网络,发现过程中,路由器将交换路由并更新其路由表。
路由器使用动态路由协议共享有关远程网络连通性和状态的信息。 动态路由协议将执行多种活动,包括网络发现和路由表维护。
网络发现是路由协议的一项功能,通过此功能路由器能够与使用相同路由协议的其他路由器共享网络信息。 动态路由协议使路由器能够自动地从其他路由器获知远程网络,这样便无需依赖在每台路由器上手动配置的指向远程网络的静态路由。 这些网络以及通往每个网络的最佳路径都会添加到路由器的路由表中,并标识为由特定动态路由协议获知的网络。
在网络发现过程中,路由器将交换路由并更新其路由表。 路由器在完成交换和路由表更新后已经聚合。 之后路由器将在其路由表中维护网络。
该图提供了一个关于两台相邻路由器如何初步交换路由信息的简单场景。 在该简化消息中,希望实现交换的 R1 介绍了自己以及自己可以到达的网络。 R2 作出响应并向 R1 提供了自己的网络。
IPV4路由协议:
运行动态路由协议的路由器不仅会确定到达网络的最佳路径,而且还会在初始路径不可用(或拓扑发生更改)时确定新的最佳路径。
Cisco ISR 路由器可以支持多种 IPv4 动态路由协议,包括:
EIGRP - 增强型内部网关路由协议
OSPF - 开放最短路径优先
IS-IS - 中间系统到中间系统
RIP - 路由信息协议
总结:
描述路由器的主要功能和特性。
为小型路由网络建立设备连接。
使用 CLI 对路由器进行配置,使其在多个直连网络之间提供路由。
解释在接口之间交换数据包时路由器使用的封装和解封过程。
解释路由器的路径确定功能。
比较中小型企业网络中路由器构建路由表的不同方式。
解释直连网络的路由表条目。
解释路由器如何为直连网络构建路由表。
解释路由器如何使用静态路由构建路由表。
解释路由器如何使用动态路由协议构建路由表。
在讨论网络时会涉及许多关键结构以及与性能相关的特征:拓扑、速度、成本、安全性、可用性、可扩展性和可靠性。
思科路由器和思科交换机有许多相似之处。 它们都支持类似的模式化操作系统、类似的命令结构和许多相同的命令。 交换机和路由器之间的一个明显区分功能是各自支持的接口类型不同。 一旦两个设备上配置了接口,就需要使用相应的 show 命令来验证接口是否处于工作状态。
路由器的主要目的在于连接多个网络,并将数据包从一个网络转发到下一个网络。 这表示路由器通常都有多个接口。 每个接口都是不同 IP 网络的成员或主机。
Cisco IOS 使用称为“管理距离 (AD)”的术语来确定安装到 IP 路由表中的路由。 路由表是一个由路由器获知的网络列表。 路由表包含其自身接口的网络地址(直连网络)和远程网络的网络地址。 远程网络是只能通过将数据包转发至其他路由器才能到达的网络。
远程网络可以通过两种方式添加到路由表中:由网络管理员手动配置静态路由,或者通过实施动态路由协议实现。 静态路由的开销小于动态路由协议;但如果拓扑结构经常发生变化或不稳定,则静态路由将需要更多的维护工作。
动态路由协议能够自动调整以适应网络变化,无需网络管理员干预。 动态路由协议要求更多的 CPU 处理工作,并且还需要使用一定量的链路资源用于路由更新和通信。 在许多情况中,路由表同时包含静态和动态路由。
路由器主要在第 3 层(网络层)做出转发决定。 但是,路由器接口将参与第 1 层、第 2 层和第 3 层。 第 3 层 IP 数据包将封装到第 2 层数据链路帧中,并编码为第 1 层中的位。 路由器接口参与与其封装相关联的第 2 层进程。 例如,路由器的以太网接口会像 LAN 内的其他主机一样参与 ARP 过程。
Cisco IP 路由表并不是一个平面数据库。 路由表实际上是一个分层结构,在查找路由并转发数据包时,这样的结构可加快查找进程。
IPv6 路由表的组件非常类似于 IPv4 路由表。 例如,它是使用直连接口、静态路由和动态获取的路由填写的。
===========================================================
第二章
本章包括以下学习目标:
解释静态路由的优点和缺点。
解释不同类型的静态路由的用途。
通过指定下一跳地址配置 IPv4 和 IPv6 静态路由。
配置 IPv4 和 IPv6 默认路由。
配置浮动静态路由以提供备份连接。
对可将流量定向至特定主机的 IPv4 和 IPv6 静态主机路由进行配置。
解释配置静态路由时路由器如何处理数据包。
常见静态路由和默认路由配置问题故障排除。
路由是所有数据网络的核心所在,它的用途是通过网络将信息从源传送到目的地。 路由器是负责将数据包从一个网络传送到另一个网络的设备。
路由器通常使用路由协议以动态方式、手动方式或使用静态路由来获知远程网络。 在许多情况下,路由器结合使用动态路由协议和静态路由。
静态路由很常见,所需的处理量和开销低于动态路由协议
VLSM:变长子网掩码 CIDR:超网
非常小的组织可能仅使用静态路由,较大的网络通常结合静态和动态路由
连接远程网络
路由器可通过两种方式获知远程网络:
手动 - 远程网络需要使用静态路由手动输入到路由表。
动态 - 远程路由使用动态路由协议自动获取。
图 1 显示了静态路由的示例场景。 图 2 显示了使用 EIGRP 的动态路由的示例场景。
网络管理员可以手动配置通往特定网络的静态路由。 不同于动态路由协议,静态路由不会自动更新,并且必须在网络拓扑发生变化时手动重新配置。 若要更改静态路由,需由管理员重新手动配置。
静态路由相对于动态路由有以下优势:
静态路由不通过网络通告,从而能够提高安全性。
静态路由比动态路由协议使用更少的带宽,且不需要使用 CPU 周期计算和交换路由信息。
静态路由用来发送数据的路径已知。
静态路由主要有以下缺点:
初始配置和维护耗费时间。
配置容易出错,尤其对于大型网络。
需要管理员维护变化的路由信息。
不能随着网络的增长而扩展;维护会越来越麻烦。
需要完全了解整个网络的情况才能进行操作。
图
图中对动态路由和静态路由的功能做了直观的比较。 注意,一种方式的优点也就是另一种方式的不足之处。
静态路由对只有一条路径通往外部网络的小型网络非常有用。 它们还为大型网络中需要更多控制的特定类型流量或其他网络链路提供安全性。 静态和动态路由并不互相排斥,理解这一点很重要。 相反,大多数网络结合使用动态路由协议和静态路由。 这可能导致路由器通过静态路由和动态获知的路由有多条到达目的网络的路径。 但是,静态路由的管理距离 (AD) 为 1。 因此,静态路由将优先于所有动态获知的路由。
静态路由主要有三个用途:
在不会显著增长的小型网络中,使用静态路由便于维护路由表。
通过末节网络路由。 末节网络是只能通过单条路由访问的网络,因此路由器只有一个邻居。
使用单一默认路由。如果某个网络在路由表中找不到更匹配的路由条目,则可使用默认路由作为通往该网络的路径。 默认路由用于将流量发送至下一个上游路由器外的所有目的地。
静态路由类型:
静态路由最常用于连接特定网络,或为末节网络提供最后选用网关。 静态路由还可用于:
通过将多个连续网络总结为一个静态路由,减少通告的路由数
如果主路由链路发生故障,则创建备份路由
本课讨论以下 IPv4 和 IPv6 静态路由类型:
标准静态路由
默认静态路由
总结静态路由
Pv4 和 IPv6 均支持配置静态路由。 连接特定远程网络时,静态路由非常有用。
静态路由可连接末节网络,但事实上,静态路由可用于连接到任何网络
默认静态路由:
默认静态路由是与所有数据包都匹配的路由。 在没有获取的路由或静态路由的情况下,默认路由用于识别发送所有 IP 数据包的网关 IP 地址。 默认静态路由是将 0.0.0.0/0 作为目的 IPv4 地址的静态路由。 配置默认静态路由可以创建最后选用网关。
注意:识别具有更大子网掩码的特定目标的所有路由优先于默认路由。
出现以下情况时,便会用到默认静态路由:
路由表中没有其他路由与数据包的目的 IP 地址匹配。 也就是说,路由表中不存在更为精确的匹配。 在公司网络中,连接到 ISP 网络的边缘路由器上往往会配置默认静态路由。
如果一台路由器仅有另外一台路由器与之相连, 该路由器即称为末节路由器。
汇总静态路由:
要减少路由表条目的数量,多条静态路由可以总结成一条静态路由,条件如下:
目的网络是连续的,并且可以总结成一个网络地址。
多条静态路由都使用相同的送出接口或下一跳 IP 地址。
浮动静态路由:
另一种静态路由是浮动静态路由。 如果链路发生故障,浮动静态路由即为主要静态或动态路由提供备份路径的静态路由。 浮动静态路由仅在主路由不可用时使用。
因此,浮动静态路由的管理距离比主路由的管理距离要大。 回想一下,管理距离表示路由的可信度。 如果有多条路径可以到达目的地,路由器会选择管理距离最小的路径。
例如,假设管理员想创建浮动静态路由,作为 EIGRP 获知的路由的备用路由。 浮动静态路由必须配置一个比 EIGRP 更大的管理距离。 EIGRP 的管理距离为 90。 如果浮动静态路由的管理距离配置为 95,通过 EIGRP 获知的动态路由将优先于浮动静态路由。 如果 EIGRP 获知的路由丢失,浮动静态路由将取代其位置。
下一跳可以通过 IP 地址、送出接口或两者结合进行识别。 根据如何指定目标,路由分为以下三种类型:
下一跳路由 - 仅指定下一跳 IP 地址。
直连静态路由 - 仅指定路由器送出接口。
完全指定静态路由 - 指定下一跳 IP 地址和送出接口。
配置下一跳静态路由——递归查询(在CEF出现之前)
定义
递归查询的步骤:
1、路由器首先将数据包的目的IP地址与静态路由相匹配。
2、然后将静态路由的下一跳IP地址与路由表中的条目相比配,决定使用哪个接口。(一般情况是与直连路由匹配)
在下一跳静态路由中,仅指定下一跳 IP 地址。 输出接口从下一跳派生。
在路由器转发任何数据包之前,路由表过程必须确定用于转发数据包的送出接口。 我们将此过程称为路由解析。
路由解析过程取决于路由器使用的转发机制类型。 CEF(思科快速转发)是运行 IOS 12.0 或更高版本的大多数平台的默认行为。
在不使用 CEF 的情况下,R1 路由表中的基本数据包转发流程。 当数据包指向 192.168.2.0/24 网络时,R1 将:
1. 在路由表中搜索匹配项,发现它必须将数据包转发到下一跳 IPv4 地址 172.16.2.2,如图中的标签 1 所示。 对于只具有下一跳 IPv4 地址而且没有指定送出接口的每一条路由,都必须使用路由表中有送出接口的另一条路由来解析下一跳 IPv4 地址。
2. R1 现在必须确定如何到达 172.16.2.2;因此,它第二次搜索 172.16.2.2 的匹配项。 在这种情况下,IPv4 地址匹配送出接口为 Serial 0/0/0 的直连网络 172.16.2.0/24 的路由,如图中的标签 2 所示。 该查找过程告知路由表过程,此数据包是从该接口转发的。
因此,将任何数据包转发到 192.168.2.0/24 网络实际上经过了两次路由表查找过程。
如果路由器在转发数据包前需要执行多次路由表查找,那么它的查找过程就是一种递归查找。
由于递归查找占用路由器资源,应尽可能避免发生这种情况。
只有指定的下一跳地址直接或间接地解析为有效送出接口,递归静态路由才有效(即它是要插入到路由表中的候选路由)。
注意:CEF 提供优化的查找功能来实现高效的数据包转发,使用数据平面中存储的两种主要数据结构:FIB(转发信息库),即路由表和邻接表的副本,其中包含第 2 层寻址信息。 这两个表中组合的信息相互配合,因此查找下一跳 IP 地址时无需进行递归查找。 换句话说,当路由器上启用 CEF 时,使用下一跳 IP 的静态路由只需要一次查找。
使用图 3 和图 4 中的语法检查器配置并检验 R2 和 R3 的下一跳静态路由。
当配置静态路由时,另一种方法是使用送出接口指定下一跳地址。 在 CEF 之前的早期 IOS 版本中,此方法用于避免递归查找问题。
R1 使用送出接口配置了三条直连静态路由。
如R1 的路由表所示,当数据包指向 192.168.2.0/24 网络时,R1 在路由表中查找匹配,发现可以将数据包从 Serial 0/0/0 接口转发出去。 不需要再进行查找。
注意使用送出接口配置的路由表与使用递归条目配置的路由表有什么不同之处。
通过配置带送出接口的直连静态路由,路由表搜索一次即可解析送出接口,而不需要搜索两次。 虽然路由表条目表示“直连”,但静态路由的管理距离仍然是 1。 只有直连接口的管理距离可以是 0。
注意:对于点对点接口,您可以使用指向送出接口或下一跳地址的静态路由。 对于多点/广播接口,更适合采用指向下一跳地址的静态路由。
使用相关命令配置并检验 R2 和 R3 的直连静态路由。
虽然在点对点网络上仅使用送出接口的静态路由十分常见,但如果使用默认 CEF 转发机制,则不必要采用这种做法。
完全指定静态路由
在完全指定静态路由中,同时指定输出接口和下一跳 IP 地址。 这是在 CEF 之前的早期 IOS 版本中使用的另一种静态路由。 当输出接口是多路访问接口时,则使用这种形式的静态路由,并且需要明确识别下一跳。 下一跳必须直接连接到指定的送出接口。
假设 R1 和 R2 之间的网络链路为以太网链路,并且 R1 的 GigabitEthernet 0/1 接口连接到该网络,如图 1 所示。 没有启用 CEF。 要避免递归查找,可以使用以下命令实施直连静态路由:
R1(config)# ip route 192.168.2.0 255.255.255.0 GigabitEthernet 0/1
但是,这可能导致意外或不一致的结果。 以太网多路访问网络和点对点串行网络之间的区别在于,点对点网络只有一台其他设备位于网络中,即链路另一端的路由器。 而对于以太网络,可能会有许多不同的设备共享相同的多路访问网络,包括主机甚至多台路由器。 如果仅仅在静态路由中指定以太网送出接口,路由器就没有充足的信息来决定哪台设备是下一跳设备。
R1 知道数据包需要封装成以太网帧并从 GigabitEthernet 0/1 接口发送出去。 但是,R1 不知道下一跳的 IPv4 地址,因此它无法决定该以太网帧的目的 MAC 地址。
根据拓扑结构和其它路由器上的配置,该静态路由或许能正常工作,也或许不能。 我们建议,当送出接口是以太网络时,完全指定静态路由同时使用送出接口和下一跳地址。
如图 2 所示,当将数据包转发到 R2 时,送出接口是 GigabitEthernet 0/1,而下一跳 IPv4 地址是 172.16.2.2。
注意:使用 CEF 时不需要完全指定静态路由。 应采用使用下一跳地址的静态路由。
使用图 3 和图 4 中的语法检查器配置并检验 R2 和 R3 的完全指定静态路由
默认路由是与所有数据包都匹配的静态路由。 路由器可以存储单个默认路由来代表不在路由表中的任意网络,而不是将到所有网络的所有路由都存储在路由表中。
路由器通常使用本地配置的默认路由,或者通过动态路由协议从其他路由器获知的默认路由。 在路由表中没有其他路由匹配数据包的目的 IP 地址时,则使用默认路由。 换句话说,如果不存在更加精确的匹配,则默认路由用作最后选用网关。
默认静态路由通常用于连接以下对象:
边缘路由器到服务提供商网络
末节路由器(只有一个上游邻居路由器的路由器)
如图所示,配置默认静态路由的命令语法类似于配置其他静态路由,但网络地址是0.0.0.0,子网掩码也是 0.0.0.0。 默认静态路由的基本命令语法为:
ip route 0.0.0.0 0.0.0.0 { ip-address | exit-intf }
注意:IPv4 默认静态路由通常称为“全零路由”。
汇总静态路由前提:
图多条静态路由可以总结成一条静态路由,前提是符合以下条件:
目的网络是连续的,并且可以总结成一个网络地址。
多条静态路由都使用相同的送出接口或下一跳 IP 地址。
ipv6:
默认路由是与所有数据包都匹配的静态路由。 这样,路由器便不需要存储通往 Internet 中所有网络的路由,而可以存储一条默认路由来代表不在路由表中的任何网络。
路由器通常使用本地配置的默认路由,或者通过动态路由协议从其他路由器获知的默认路由。 当路由表中没有其他路由匹配数据包的目的 IP 地址时,则使用这种路由。 换句话说,如果不存在更加精确的匹配,则默认路由用作最后选用网关。
默认静态路由通常用于连接以下对象:
服务提供商网络与公司的边缘路由器。
只有一个上游邻居路由器的路由器。 路由器没有其他邻居,因此称为“末节路由器”。
如图所示,默认静态路由的命令语法类似于其他静态路由,不同之处在于,ipv6-prefix/prefix-length 是 ::/0,可以匹配所有路由。
默认静态路由的基本命令语法为:
ipv6 route ::/0 { ipv6-address| exit-intf }
路由总结也就是所谓的路由汇聚,指使用更笼统、相对更短的子网掩码将一组连续地址作为一个地址来传播。 CIDR 是路由总结的一种形式,它与术语“超网划分”同义。
CIDR 忽略有类边界的限制,允许使用小于默认有类掩码的掩码进行总结。 此类总结有助于减少路由更新中的条目数量,以及降低本地路由表中的条目数量。 它还可以帮助减少路由更新所需的带宽用量,加快路由表查询速度。
请参考图 1 中的示例。 使用静态路由,所有路由器都有连接。
图 2 显示了 R3 的静态路由表条目。 注意它有三条静态路由可以总结,因为它们共享相同的第一个二进制八位数。
图 3 显示了总结这三个网络的步骤:
第 1 步: 以二进制形式写出要总结的网络。
第 2 步: 要找出用于总结的子网掩码,首先从左开始向右查找,找到连续匹配的所有位,直到某一列中的位不匹配,确定出总结边界。
第 3 步: 计算最左侧匹配的位数;在本例中为 22。 该数字将总结路由的子网掩码标识为 /22 或 255.255.252.0。
第 4 步: 找出用于总结的网络地址,方法是复制匹配的 22 位并在其后用 0 补足 32 位。
确定总结路由后,用一条总结路由替换现有路由。
图 4 显示了如何删除三个现有路由,然后配置新的总结静态路由。
图 5 确认了总结静态路由在 R3 的路由表中。
浮动静态路由的管理距离大于另一个静态或动态路由的管理距离。 当为主链路提供备用链路时,它们非常有用,如图所示。
默认情况下,静态路由的管理距离为 1,因此它们优先于通过动态路由协议获知的路由。 例如,一些常见动态路由协议的管理距离如下:
EIGRP = 90
IGRP = 100
OSPF = 110
IS-IS = 115
RIP = 120
静态路由的管理距离可以增加,以便使另一个静态路由或通过动态路由协议获取的路由优先于该路由。 这样,静态路由将会“浮动”,当有管理距离更好的路由处于活动状态时,则不使用该路由。 但是,如果首选路由丢失,浮动静态路由可以接管,而且流量可以通过此备用路由发送。
浮动静态路由可用于为路由器上的多个接口或网络提供备用路由。 它还与封装无关,这意味着无论封装类型是什么,它都可以从任何借口转发数据包。
需要重点考虑的是,浮动静态路由易受收敛时间的影响。 不断丢弃并重新建立连接的路由可能会导致不必要地激活备用接口。
由于以下各种因素,导致网络状况经常会发生变化:
接口故障。
服务提供商断开连接。
链路过饱和。
管理员输入了错误的配置。
当网络发生变化时,连接可能会中断。 网络管理员负责查明并解决问题。 要查明并解决这些问题,网络管理员必须熟悉工具,以便快速隔离路由问题。
常用 IOS 故障排除命令包括:
Ping(双向)
traceroute
show ip route
show ip interface brief
show cdp neighbors detail
图 1 显示了从 R1 的源接口到 R3 的 LAN 接口执行扩展 ping 操作的结果。 扩展 ping 用于指定源接口或源 IP 地址。
图 2 显示了从 R1 到 R3 的 LAN 执行 traceroute 操作的结果。
图 3 显示了 R1 的路由表。
图 4 显示了路由器上所有接口的快速状态。
图 5 显示了直接相连的思科设备列表。 此命令验证第 2 层(第 1 层)连接。 例如,如果命令的输出中列出邻居设备,但对其执行 ping 操作失败,则应该调查第 3 层寻址。
====================================================================
第三章
3.1 动态路由协议
解释动态路由协议的用途。
解释动态路由与静态路由的用法。
3.2 RIPv2
配置 RIPv2 路由协议。
3.3 路由表
解释特定路由的 IPv4 路由表条目的要素。
解释动态建立的路由表中的父/子关系。
确定哪条路由用于转发 IPv4 数据包。
确定哪条路由用于转发 IPv6 数据包。
3.4 总结
本章包括以下学习目标:
解释动态路由协议的用途。
解释动态路由与静态路由的用法。
配置 RIPv2 路由协议。
解释特定路由的 IPv4 路由表条目的要素。
解释动态建立的路由表中的父/子关系。
确定哪条路由用于转发 IPv4 数据包。
确定哪条路由用于转发 IPv6 数据包。
使用静态路由:
静态路由主要有以下几种用途:
在不会显著增长的小型网络中,使用静态路由便于维护路由表。
路由至和路由出末节网络。
访问单一默认路由
在确定动态路由协议的优点之前,请考虑网络专家使用静态路由的原因。 动态路由肯定在很多方面优于静态路由,但是,当今的网络仍然使用静态路由。 而实际上,网络通常是将静态路由和动态路由结合使用。
静态路由主要有以下几种用途:
在不会显著增长的小型网络中,使用静态路由便于维护路由表。
路由至和路由出末节网络。末节网络是只有一个默认路由的网络,并对任何远程网络一概不知。
访问单一默认路由(如果某个网络在路由表中找不到更匹配的路由条目,则可使用默认路由作为通往该网络的路径)。
图中提供了一个静态路由示例场景。
动态路由协议帮助网络管理员管理耗时又费力的静态路由配置和维护工作。——大型网络
动态路由协议自上个世纪八十年代后期开始应用于网络。 路由信息协议 (RIP) 是首批路由协议之一。 RIP 第 1 版发布于 1988 年,但是该协议中的一些基本算法早在 1969 年就用于高级研究计划署网络 (ARPANET)
随着发展,网络变的更加复杂,新的路由协议则应运而生。 RIP 路由协议更新至 RIPv2,可支持网络环境的发展。 但新版的 RIP 协议仍旧不具有扩展性,无法用于当今较大型的网络。 为了满足大型网络的需要,两种高级路由协议应运而生:开放最短路径优先协议 (OSPF) 和中间系统到中间系统协议 (IS-IS)。 Cisco 也推出了面向大型网络实施的“内部网关路由协议”(IGRP) 和增强型 IGRP (EIGRP) 协议。
此外,需要连接不同的网际网络并在它们之间提供路由。 边界网关协议 (BGP) 当前用于 Internet 服务提供商 (ISPs) 之间。 BGP 还用于 ISP 与其较大的私有客户端之间来交换路由信息。
图 1 显示了介绍不同协议的时间安排。
图 2 将协议分类。
由于越来越多的用户设备使用 IP,IPv4 寻址空间已近乎耗尽,因此,IPv6 应运而生。 为支持基于 IPv6 的通信,开发了新版的 IP 路由协议(参见图中 IPv6 一行)。
RIP 是最简单的动态路由协议,用于本部分来提供基本的路由协议理解。
动态路由主要优点
如果存在到达目的站点的多条路径,运行了动态路由选择协议之后,正在进行数据传输的一条路径发生了中断的情况下,路由器可以自动的选择另外一条路径传输数据。这对于建立一个大型的网络是一个优点
缺点,比如占用了额外的带宽,增加了CPU负荷等等。
路由协议是用于路由器之间交换路由信息的协议。 路由协议由一组处理进程、算法和消息组成,用于交换路由信息,并将其选择的最佳路径添加到路由表中。 动态路由协议的用途包括:
发现远程网络
维护最新路由信息
选择通往目的网络的最佳路径
当前路径无法使用时找出新的最佳路径
动态路由协议的主要组件包括:
数据结构 - 路由协议通常使用路由表或数据库来完成路由过程。 此类信息保存在内存中。
路由协议消息 - 路由协议使用各种消息找出邻近的路由器,交换路由信息,并通过其他一些任务来获取和维护准确的网络信息。
算法 - 算法是指用于完成某个任务的一定数量的步骤。 路由协议使用算法来路由信息并确定最佳路径。
图中突出显示了 EIGRP 使用的数据结构、路由协议消息和路由算法。
通过路由协议,路由器可以动态共享有关远程网络的信息,并自动将该信息添加到各自的路由表中(参见图中的动画)。
路由协议确定每个网络的最佳路径或路由。 然后将该路由添加至路由表。 动态路由协议的主要优点是,当拓扑结构发生变化时,路由器会交换路由信息。 通过这种信息交换,路由器不仅能够自动获知新增加的网络,还可以在当前网络连接失败时找出备用路径。
与静态路由相比,动态路由协议需要的管理开销较少。 不过,运行动态路由协议需要占用一部分路由器资源,包括 CPU 时间和网络链路带宽。 尽管动态路由有诸多好处,但静态路由仍有其用武之地。 有的情况下适合使用静态路由,而有的情况下则适合使用动态路由。 具有一定复杂程度的网络可能同时配置了静态路由和动态路由。
收敛
图
图中的表格突出显示了静态路由的优点和缺点。 容易在小型网络中实施静态路由。 静态路由保持不变,这使它们很容易进行故障排除。 静态路由不发送更新消息,因此,几乎不需要开销。
静态路由的缺点包括:
不容易在大型网络中实施。
管理静态配置非常耗时。
如果连接失败,静态路由无法重新路由流量。
图
图中的表格突出显示了动态路由的优点和缺点。 动态路由协议非常适合包含多台路由器的任意类型的网络。 动态路由协议具有可扩展性,而且,如果拓扑发生变化,该协议会自动确定更好的路由。 虽然有更多对动态路由协议的配置,但是在大型网络中配置起来更简单。
动态路由的缺点。 动态路由需要其他命令的知识。 因为路由协议确定的接口发送路由更新,所以相比静态路由,它还不够安全。 所采用的路由可能因数据包不同而异。 路由算法会占用额外的 CPU、RAM 和链路带宽。
请注意动态路由如何应对静态路由的缺点。
动态路由协议的运行过程
所有路由协议的用途都是:获知远程网络,在拓扑发生变化时快速作出调整。 所用的方式由该协议所使用的算法及其运行特点决定。
一般来说,动态路由协议的运行过程如下:
1. 路由器通过其接口发送和接收路由消息。
2. 路由器与使用同一路由协议的其他路由器共享路由消息和路由信息。
3. 路由器通过交换路由信息来了解远程网络。
4. 如果路由器检测到网络拓扑结构的变化,路由协议可以将这一变化告知其他路由器。
单击图中的“播放”,观看动态路由协议的运行过程的动画。
3.3.2 冷启动
当路由器通电开机时,它完全不了解网络拓扑。——直连网络
所有路由协议都以相同的模式运行。 为了帮助说明这一点,请考虑所有三台路由器都运行 RIPv2 的场景(如下所示)。
当路由器通电开机时,它完全不了解网络拓扑。 它甚至不知道在其链路的另一端是否存在其他设备。 路由器唯一了解的信息来自自身 NVRAM 中存储的配置文件中的信息。 路由器成功启动后,它将应用所保存的配置。 如果配置了正确的 IP 寻址,路由器将首先发现与其自身直连的网络。
单击图中的“播放”,观看首先发现每个路由器所连网络的动画。
请注意路由器如何继续运行启动过程,然后发现任何直连网络和子网掩码。 该信息会按以下步骤添加到路由器的路由表中:
R1 添加通过接口 FastEthernet 0/0 可用的 10.1.0.0 网络,10.2.0.0 通过接口 Serial 0/0/0 可用。
R2 添加通过接口 Serial 0/0/0 可用的 10.2.0.0 网络,10.3.0.0 通过接口 Serial 0/0/1 可用。
R3 添加通过接口 Serial 0/0/1 可用的 10.3.0.0 网络,10.4.0.0 通过接口 FastEthernet 0/0 可用。
有了这些初始信息,路由器会继续查找其路由表的其他路由源。
网络发现(邻居发现协议)
配置了路由协议,下一步是使路由器开始交换路由更新来获知所有远程路由。——直连邻居
初始启动和发现后,会使用所有直连网络和这些网络驻留的接口更新路由表。
如果配置了路由协议,下一步是使路由器开始交换路由更新来获知所有远程路由。
路由器从该路由器上启用的所有的接口发出更新数据包。 更新包括路由表中的信息,目前是所有直连网络。
同时,路由器也接收和处理来自其他所连路由器的类似更新。 收到更新后,路由器会检查更新,从中找出新的网络信息。 会添加目前路由表中未列出的所有网络。
请参考图中 R1、R2 和 R3 三个路由器之间的拓扑设置。 根据此拓扑,下面列出了 R1、R2 和 R3 在初始收敛期间所发送和接收的不同更新。
R1:
将有关网络 10.1.0.0 的更新从 Serial0/0/0 接口发送出去
将有关网络 10.2.0.0 的更新从 FastEthernet0/0 接口发送出去
从 R2 接收有关网络 10.3.0.0 的更新,并将跳数递增 1。
在路由表中存储网络 10.3.0.0,度量为 1
R2:
将有关网络 10.3.0.0 的更新从 Serial 0/0/0 接口发送出去
将有关网络 10.2.0.0 的更新从 Serial 0/0/1 接口发送出去
从 R1 接收有关网络 10.1.0.0 的更新,并将跳数递增 1。
在路由表中存储网络 10.1.0.0,度量为 1
从 R3 接收有关网络 10.4.0.0 的更新,并将跳数递增 1。
在路由表中存储网络 10.4.0.0,度量为 1
R3:
将有关网络 10.4.0.0 的更新从 Serial 0/0/1 接口发送出去
将有关网络 10.3.0.0 的更新从 FastEthernet0/0 发送出去
从 R2 接收有关网络 10.2.0.0 的更新,并将跳数递增 1。
在路由表中存储网络 10.2.0.0,度量为 1
单击图中的“播放”,观看 R1、R2 和 R3 开始初始交换的动画。
经过第一轮更新交换后,每台路由器都能获知其直连邻居所连接的网络。 但是,您是否注意到 R1 尚不知道 10.4.0.0,而且 R3 也不知道 10.1.0.0? 因此,还需要经过一次路由信息交换,网络才能达到完全收敛。
交换路由信息
路由器开始交换下一轮的定期更新,并继续收敛。 每台路由器再次检查更新并从中找出新信息。
此时,路由器已经获知与其直连的网络,以及与其邻居相连的网络。 接着路由器开始交换下一轮的定期更新,并继续收敛。 每台路由器再次检查更新并从中找出新信息。
请参考图中 R1、R2 和 R3 三个路由器之间的拓扑设置。 首次发现完成后,每台路由器通过发送和接收以下更新继续收敛过程。
R1:
将有关网络 10.1.0.0 的更新从 Serial 0/0/0 接口发送出去。
将有关网络 10.2.0.0 和 10.3.0.0 的更新从 FastEthernet0/0 接口发送出去
从 R2 接收有关网络 10.4.0.0 的更新,并将跳数递增 1。
在路由表中存储网络 10.4.0.0,度量为 2
来自 R2 的同一个更新包含有关网络 10.3.0.0 的信息,度量为 1。 因为网络没有发生变化,所以该路由信息保持不变
R2:
将有关网络 10.3.0.0 和 10.4.0.0 的更新从 Serial 0/0/0 接口发送出去
将有关网络 10.1.0.0 和 10.2.0.0 的更新从 Serial 0/0/1 接口发送出去
接收来自 R1 的有关网络 10.1.0.0 的更新。 因为网络没有发生变化,所以该路由信息保持不变
接收来自 R3 的有关网络 10.4.0.0 的更新。 因为网络没有发生变化,所以该路由信息保持不变
R3:
将有关网络 10.4.0.0 的更新从 Serial 0/0/1 接口发送出去
将有关网络 10.2.0.0 和 10.3.0.0 的更新从 FastEthernet0/0 接口发送出去
从 R2 接收有关网络 10.1.0.0 的更新,并将跳数递增 1
在路由表中存储网络 10.1.0.0,度量为 2
来自 R2 的同一个更新包含有关网络 10.2.0.0 的信息,度量为 1。 因为网络没有发生变化,所以该路由信息保持不变
单击图中的“播放”,观看 R1、R2 和 R3 向各自邻居发送最新路由表的动画。
距离矢量路由协议通常会采用一种称为水平分割的路由环路阻止技术。 水平分割可防止将信息从接收该信息的接口发送出去。 例如,因为 R2 会通过 Serial0/0/0 获知网络 10.1.0.0,所以 R2 不会从 Serial 0/0/0 发送包含网络 10.1.0.0 的更新。
网络中的路由器完成收敛后,该路由器便可使用路由表中的信息确定到达目的地的最佳路径。 不同的路由协议计算最佳路径的方法不同。
实现收敛
当所有路由器都获取了整个网络的完整、准确的信息时,网络已经完成收敛。路由器通过收敛来达成一致
如图 1 所示,当所有路由器都获取了整个网络的完整、准确的信息时,网络已经完成收敛。 收敛时间是指路由器共享网络信息、计算最佳路径并更新路由表所花费的时间。 网络在完成收敛后才可以正常运行,因此,大部分网络都需要在很短的时间内完成收敛。
收敛过程既具协作性,又具独立性。 路由器之间既需要共享路由信息,各个路由器也必须独立计算拓扑结构变化对各自路由过程所产生的影响。 由于路由器独立更新网络信息以与拓扑结构保持一致,所以,也可以说路由器通过收敛来达成一致。
收敛的有关属性包括路由信息的传播速度以及最佳路径的计算方法。 传播速度是指网络中的路由器转发路由信息的时间。
如图 2 所示,可以根据收敛速度来评估路由协议。收敛速度越快,路由协议的性能就越好。 通常,RIP 等早期协议收敛缓慢,而 EIGRP 和 OSPF 等现代协议收敛较快。
路由协议分类
图
可以按路由协议的特点将其分为不同的类别。 具体而言,路由协议可以按照以下内容分类:
目的 - 内部网关协议 (IGP) 或外部网关协议 (EGP)
操作 - 距离矢量、链路状态协议或路径矢量协议 根据工作原理
行为- 有类协议(传统)或无类协议
例如,IPv4 路由协议分类如下:
RIPv1(传统)- IGP,距离矢量,有类协议
IGRP(传统)- IGP,距离矢量,由 Cisco(12.2 IOS 及后续版本已弃用)开发的有类协议
RIPv2 - IGP,距离矢量,无类协议
EIGRP - IGP,距离矢量,由 Cisco 开发的无类协议
OSPF - IGP,链路状态,无类协议
IS-IS - IGP,链路状态,无类协议
BGP - EGP,路径矢量,无类协议
有类路由协议 RIPv1 和 IGRP 是传统协议,仅用于旧的网络。 这些路由协议已分别演变为无类路由协议 RIPv2 和 EIGRP。 链路状态路由协议本质上是无类协议。
图 1 显示了动态路由协议分类的分层视图。
图 2 至图 5 突出显示了各种路由协议的目的、操作和行为。
IGP路由协议和EGP路由协议
自治系统 (AS) 是接受统一管理(比如公司或组织)的路由器集合。 AS 也称为路由域。 AS 的典型示例是公司的内部网络和 ISP 的网络。
由于互联网基于 AS 概念,因此需要两种路由协议:
内部网关协议 (IGP) - 用于在 AS 中实现路由。 它也称为 AS 间路由。 公司、组织甚至服务提供商,都在各自的内部网络上使用 IGP。 IGP 包括 RIP、EIGRP、OSPF 和 IS-IS。
外部网关协议 (EGP) - 用于在 AS 间实现路由。 它也称为 AS 间路由。 服务提供商和大型企业可以使用 EGP 实现互联。 边界网关协议 (BGP) 是目前唯一可行的 EGP,也是互联网使用的官方路由协议。
注意:由于 BGP 是唯一可用的 EGP,所以很少使用术语 EGP;大多数工程师实际上只是指 BGP。
图中的示例提供了简单的场景,突出显示了 IGP、BGP 和静态路由的部署。
ISP-1 - 这是一个 AS,它将 IS-IS 用作 IGP。 它连接到使用 BGP 的其他自治系统和服务提供商,以便明确控制流量的路由方式。
ISP-2 - 这是一个 AS,它将 OSPF 用作 IGP。 它连接到使用 BGP 的其他自治系统和服务提供商,以便明确控制流量的路由方式。
AS-1 - 这是一个大型组织,它将 EIGRP 用作 IGP。 由于属于多宿主(例如,连接到两个不同的服务提供商),因此它使用 BGP 明确控制流量如何进入和离开 AS。
AS-2 - 这是一个中型组织,它将 OSPF 用作 IGP。 它也属于多宿主;因此,它使用 BGP 明确控制流量如何进入和离开 AS。
AS-3 - 这是在 AS 中使用较旧路由器的小型组织,它将 RIP 用作 IGP。 BGP 不是必需的,因为它属于单宿主(例如,连接到一个服务提供商)。 而是在 AS 与服务提供商之间实施静态路由。
注意:BGP 不属于本课程的范围,不做详细讨论。
距离矢量路由协议
距离矢量是指将路由作为距离和方向的矢量进行通告。距离使用如跳数,开销,带宽,延迟等这样的度量确定,而方向则是下一跳路由器或送出接口。
距离矢量路由协议并不了解确切的网络拓扑图。
距离矢量路由协议在邻居之间共享更新。
邻居是指使用同一链路并配置了相同路由协议的其他路由器。
距离矢量意味着通过提供两个特征通告路由:
距离 - 根据度量(如跳数,开销,带宽,延迟等)确定与目的网络的距离。
矢量 - 指定下一跳路由器或送出接口的方向以达到目的。
例如,在右图中,R1 知道到达网络 172.16.3.0/24 的距离是 1 跳,方向是从接口 S0/0/0 到 R2。
使用距离矢量路由协议的路由器并不了解到达目的网络的整条路径。 距离矢量协议将路由器作为通往最终目的地的路径上的路标。 路由器唯一了解的远程网络信息就是到该网络的距离(即度量)以及可通过哪条路径或哪个接口到达该网络。 距离矢量路由协议并不了解确切的网络拓扑图。
有四个距离矢量 IPv4 IGP:
RIPv1 - 第一代传统协议
RIPv2 - 简单距离矢量路由协议
IGRP - 第一代 Cisco 专有协议(已过时并由 EIGRP 取代)
EIGRP - 距离矢量路由高级版
距离矢量协议
距离矢量:用于根据距离(distance)来判断最佳路径,当1个数据包每经过1个router时,被称之为经过1跳,经过跳数最少的则作为最佳路径。这类例子有RIP、IGRP。
链路状态路由协议
与距离矢量路由协议的运行过程不同,配置了链路状态路由协议的路由器可以获取所有其他路由器的信息来创建网络的完整视图(即拓扑结构)。
我们继续拿路标来做类比,使用链路状态路由协议就好比是拥有一张完整的网络拓扑图。 从源到目的网络的路途中并不需要路标,因为所有链路状态路由器都使用相同的网络地图。 链路状态路由器使用链路状态信息来创建拓扑图,并在拓扑结构中选择到达所有目的网络的最佳路径。
启用了 RIP 的路由器定期将更新的路由信息发送给它们的邻居。 但链路状态路由协议不采用这种定期更新机制。 网络完成收敛后,只在网络拓扑结构发生变化时才发送链路状态更新信息。 例如,从右侧的动画演示中可以看出,在 172.16.3.0 网络出现中断的情况下(即网络拓扑结构发生了变化),才发送链路状态更新信息。
单击图中的“播放”,观看链路状态运行过程。
链路状态协议适用于以下情形:
网络进行了分层设计(大型网络通常如此)
网络的快速收敛非常重要
管理员非常了解所采用的链路状态路由协议
有两个链路状态 IPv4 IGP:
OSPF - 常见的基于标准的路由协议
IS-IS - 常见于提供商网络
有类路由协议
有类路由协议在路由信息更新过程中不发送子网掩码信息。不支持不连续网络。有类路由协议包括 RIPv1 和 IGRP
无类路由协议的路由信息更新中,同时包括网络地址和子网掩码。无类路由协议包括 RIPv2、EIGRP、OSPF、IS-IS 和 BGP 等
有类路由协议和无类路由协议之间的最大区别是有类路由协议不会在其路由更新中发送子网掩码信息。 而无类路由协议在路由更新中包含子网掩码信息。
所开发的两个原始 IPv4 路由协议是 RIPv1 和 IGRP。 根据类别(如 A 类、B 类或 C 类)分配网络地址时创建了这两个路由协议。 此时,路由协议不必在路由更新中包含子网掩码,因为可以根据网络地址的第一个二进制八位数来确定网络掩码。
注意:仅 RIPv1 和 IGRP 是有类的。 所有其他 IPv4 和 IPv6 路由协议都是无类的。 有类寻址从不是 IPv6 的一部分。
RIPv1 和 IGRP 在更新中不包含子网掩码信息的事实意味着它们无法提供可变长子网掩码 (VLSMs) 和无类域间路由 (CIDR)。
有类路由协议在不连续的网络中也会产生问题。 当不同的有类网络地址将来自同一有类主网络地址的子网分开时会产生不连续的网络。
为了说明有类路由的不足,请参阅图 1 中的拓扑结构。 请注意 R1 (172.16.1.0/24) 和 R3 (172.16.2.0/24) 的 LAN 都是同一 B 类网络 (172.16.0.0/16) 的子网。 不同的有类网络地址(192.168.1.0/30 和 192.168.2.0/30)将它们分开。
当 R1 向 R2 转发更新时,RIPv1 不在更新中包含子网掩码信息;它只转发 B 类网络地址 172.16.0.0。
R2 接收并处理更新。 如图 2 所示,随后在路由表创建并添加了一个 B 类 172.16.0.0/16 网络的条目。
图 3 显示了当 R3 向 R2 转发更新时,也不包含子网掩码信息,因此只转发有类网络地址 172.16.0.0。
在图 4 中,R2 接收并处理更新,将有类网络地址 172.16.0.0/16 的另一个条目添加到其路由表。 当路由表中有两个相同度量的条目时,路由器在这两条链路间平等地分配流量负载。 这称为负载均衡。
如图 5 所示,这对不连续网络产生了负面影响。 请注意 ping 命令和traceroute 命令的不稳定行为。
路由协议度量
度量值(Metric):是指路由协议用来分配到达远程网络的路由开销的值。通常这个值是没有单位的。
度量值越小,这条路径越佳。然而不同的路由协议定义度量值的方法是不一样的,所以不同的路由协议选择出的最佳距离可能是不一样的。
有的时候,路由协议知道多条通往同一目的地的路径。 要选择最佳路径,路由协议必须能够评估和区分所有可用的路径。 这通过使用路由度量来完成。
度量是路由协议基于该路由的有用性分配给不同路由的可衡量的值。 在有多条路径指向同一远程网络的情况下,使用路由度量来确定从源到目的地的路径的整个“开销”。 路由协议根据开销最低的路由来确定最佳路径。
不同的路由协议使用不同的度量。 一种路由协议使用的度量可能会与另一种路由协议使用的度量存在差异。 两个不同的路由协议可能会选择不同的路径到达同一目的地。
图中的动画显示 RIP 会选择跳数最少的路径;相反,OSPF 会选择带宽最高的路径。
路由协议度量
RIP根据跳数选择最佳路径。
0SPF根据带宽选择最佳路径。
路由信息协议
RIP 主要有以下特征:
RIP 是一个距离矢量路由协议。
RIP 使用跳数作为路径选择的唯一度量。
通告的路由若跳数超过 15,会视为不可达。
每 30 秒广播一次消息。
UDP:520 AD:120
路由信息协议 (RIP) 是最初在 RFC 1058 中指定的的第一代 IPv4 路由协议。 它便于配置,成为小型网络的理想选择。
RIPv1 的主要特点如下:
每 30 秒广播 (255.255.255.255) 路由更新。
使用跳数作为路径选择的度量。
将大于 15 跳的跳数视为无限(过多)跳数。 该第 15 跳路由器不会将路由更新传播至下一台路由器。
1993 年,RIPv1 发展成称为 RIP 第 2 版 (RIPv2) 的无类路由协议。 RIPv2 引入以下改进:
无类路由协议 - 它支持 VLSM 和 CIDR,因为它在路由更新中包含子网掩码。
提高效率 - 它将更新转发至组播地址 224.0.0.9,而不是广播地址 255.255.255.255。
减少路由条目 - 它支持所有接口上的手动路由总结。
安全 - 它支持身份验证机制以保证邻居之间路由表更新的安全。
图中的表格总结了 RIPv1 和 RIPv2 的不同点。
RIP 更新封装在 UDP 网段内,其源端口号和目的端口号均设置为 UDP 端口 520。
RIP 的 IPv6 启用版本于 1997 年发布。 RIPng 基于 RIPv2。 它还有一个 15 跳的限制,其管理距离为 120。
图
路由信息协议 (RIP) 是最初在 RFC 1058 中指定的的第一代 IPv4 路由协议。 它便于配置,成为小型网络的理想选择。
RIPv1 的主要特点如下:
每 30 秒广播 (255.255.255.255) 路由更新。
使用跳数作为路径选择的度量。
将大于 15 跳的跳数视为无限(过多)跳数。 该第 15 跳路由器不会将路由更新传播至下一台路由器。
1993 年,RIPv1 发展成称为 RIP 第 2 版 (RIPv2) 的无类路由协议。 RIPv2 引入以下改进:
无类路由协议 - 它支持 VLSM 和 CIDR,因为它在路由更新中包含子网掩码。
提高效率 - 它将更新转发至组播地址 224.0.0.9,而不是广播地址 255.255.255.255。
减少路由条目 - 它支持所有接口上的手动路由总结。
安全 - 它支持身份验证机制以保证邻居之间路由表更新的安全。
图中的表格总结了 RIPv1 和 RIPv2 的不同点。
RIP 更新封装在 UDP 网段内,其源端口号和目的端口号均设置为 UDP 端口 520。
RIP 的 IPv6 启用版本于 1997 年发布。 RIPng 基于 RIPv2。 它还有一个 15 跳的限制,其管理距离为 120。
配置被动接口
默认情况下,通过所有启用了 RIP 的路由器上的接口转发 RIP 更新。
在 LAN 上发送更新会网络造成影响:
浪费带宽 - 带宽用于传输不必要的更新。 因为可以广播或组播 RIP 更新;因此,交换机也通过所有端口转发更新。
浪费资源 - LAN 中的所有设备都必须处理更新直到传输层,此时设备将丢弃此更新。
安全风险 - 在广播网络上通告更新会带来安全风险。
默认情况下,通过所有启用了 RIP 的接口转发 RIP 更新。 但是,实际上只需要通过连接在其他启用了 RIP 的路由器上的接口来发送 RIP 更新。
例如,请参考图 1 中的拓扑结构。 即使此 LAN 上没有 RIP 设备,RIP 也会将更新通过其 G0/0 接口发送出去。 R1 无法得知该 LAN 上是否有 RIP 设备,因此每 30 秒就会发送一次更新。 在 LAN 上发送不需要的更新会在以下三个方面对网络造成影响:
浪费带宽 - 带宽用于传输不必要的更新。 因为可以广播或组播 RIP 更新;因此,交换机也通过所有端口转发更新。
浪费资源 - LAN 中的所有设备都必须处理更新直到传输层,此时设备将丢弃此更新。
安全风险 - 在广播网络上通告更新会带来安全风险。 RIP 更新可能会被数据包嗅探软件中途截取。 路由更新可能会被修改并重新发回该路由器,从而导致路由表根据错误度量误导流量。
使用 passive-interface 路由器配置命令阻止通过路由器接口传输路由更新,但是仍然允许将该网络通告至其他路由器。 该命令会停止指定接口的路由更新。 但是,从其他接口发出的路由更新中仍通告指定接口所属的网络。
R1、R2 和 R3 无需从各自 LAN 接口转发 RIP 更新。 图 2 中的配置将 R1 G0/0 接口确定为被动接口。 然后使用 show ip protocols 命令检验出 Gigabit Ethernet 接口为被动接口。 请注意,发送或接收版本 2 更新时不再列出 G0/0 接口,但是,现在将该接口列在“被动接口”部分之下。 还请注意,网络 192.168.1.0 仍然列在“网络路由”之下,这表示该网络仍然作为路由条目包含在发送到 R2 的 RIP 更新中。
注意:所有的路由协议都支持 passive-interface 命令。
使用图 3 中的语法检查器将 LAN 接口配置为 R2 和 R3 上的一个被动接口。
作为替代方案,可以使用 passive-interface default 命令将所有接口设为被动。 不能设为被动的接口可以使用 no passive-interface 命令重新启用。
路由表条目
图
IPv4 路由表——包含直连路由、静态路由和动态路由
如图 1 中的突出显示部分,R1 的路由表中包含三个直连网络。 请注意,为处于活动状态的路由器接口配置 IP 地址和子网掩码时,会自动创建两个路由表条目。
图 2 显示了 R1 上的直连网络 172.16.1.0 的一个路由表条目。 配置 GigabitEthernet 0/0 接口并激活时,这些条目会自动添加到路由表。 这些条目包含以下信息:
路由来源 - 确定路由的获取方式。 直连接口有两个路由来源代码。 C 用于确定直连网络。 当某个接口配置了 IP 地址并激活时,将会自动创建直连网络。 L 表示这是本地路由。 为接口配置 IP 地址并激活时,会自动创建本地路由。
目的网络 - 远程网络的地址和该网络的连接方式。
传出接口 - 将数据包转发至目的网络时要使用的出接口。
注意:IOS 15 之前的版本中没有本地路由表条目。
一个路由器通常配置有多个接口。 路由表既储存直连路由信息,也储存远程路由信息。 对于直连网络,路由来源用于确定获取路由的方式。 例如,远程网络的通用代码包括:
S - 用于确定管理员手动创建的通往特定网络的路由。 这是一种静态路由。
D - 用于确定使用 EIGRP 路由协议从另一台路由器动态获知的路由器。
O - 用于确定使用 OSPF 路由协议从另一台路由器动态获知的路由器。
R - 用于确定使用 RIP 路由协议从另一台路由器动态获知的路由器。
C-直连
图
图示为 R1 上路由到 R3 的远程网络 172.16.4.0 的 IPv4 路由表条目。 该条目确定以下信息:
路由来源 - 确定路由的获取方式。
目的网络 - 确定远程网络的地址。
管理距离 - 确定路由来源的可靠性。
度量 - 确定到达远程网络分配值。 较低的值表示首选路由。
下一跳 - 用于确定下一路由器的 IPv4 地址以转发数据包至该路由器。
路由时间戳 - 用于确定最后一次侦听路由的时间。
传出接口 - 确定用于将数据包转发至最终目的地的出接口。
路由表术语
如图所示,动态建立的路由表提供了大量信息。 因此,了解路由表生成的输出非常重要。 讨论路由表的内容时会应用特别术语。
Cisco IP 路由表并不是一个平面数据库。 路由表实际上是一个分层结构,在查找路由并转发数据包时,这样的结构可加快查找进程。 在此结构中包括若干个层级。
采用下列形式讨论路由:
最终路由
1 级路由
1 级父路由
2 级子路由
最终路由是包含下一跳 IPv4 地址或送出接口的路由表条目。 动态获知的直连本地(送出接口)路由为最终路由。
图中的突出显示区域为最终路由示例。 请注意,所有这些路由指定下一跳 IPv4 地址或送出接口。
1 级路由是指子网掩码等于或小于网络地址有类掩码的路由。 因此,1 级路由可以是:
网络路由 - 是指其子网掩码等于有类掩码。
超网路由 - 是指掩码小于有类掩码(比如总结地址)的网络地址。
默认路由 - 是指地址为 0.0.0.0/0 的静态路由。
1 级路由的来源可以是直连网络、静态路由或动态路由协议。
图 1 突出显示了 1 级路由在什么情况下也是最终路由。
图 2 突出显示了 1 级路由。
172.16.0.0没有确定的子网掩码,可能是被划分了子网
如图 1 所示,1 级父路由是划分子网的 1 级网络路由。 父路由不可以是最终路由。
图 2 突出显示了 R1 的路由表中的 1 级父路由。 在路由表中,它为其包含的特定子网基本上提供了一个标题。 各个条目显示细分有类地址所形成的有类网络地址、子网数量和不同子网掩码的数量。
看一下父路由,子路由,中级路由的关系
父路由下有若干个子路由,这些子路由都是终级路由
2 级子路由是指有类网络地址的子网路由。 如图 1 所示,1 级父路由是划分子网的 1 级网络路由。 如图 2 所示,1 级父路由包含 2 级子路由。
与 1 级路由一样,2 级路由的来源可以是直连网络、静态路由或动态获知的路由。 2 级子路由也是最终路由。
注意:Cisco IOS 中的路由表分层结构包含有类路由方案。 1 级父路由是子网路由的有类网络地址。 即使子网路由的来源是无类路由协议也同样如此。
图 3 突出显示了 R1 的路由表中的子路由
5个2级子路由,下面也是,这些2级子路由和以及父路由的关系
2 级子路由是指有类网络地址的子网路由。 如图 1 所示,1 级父路由是划分子网的 1 级网络路由。 如图 2 所示,1 级父路由包含 2 级子路由。
与 1 级路由一样,2 级路由的来源可以是直连网络、静态路由或动态获知的路由。 2 级子路由也是最终路由。
注意:Cisco IOS 中的路由表分层结构包含有类路由方案。 1 级父路由是子网路由的有类网络地址。 即使子网路由的来源是无类路由协议也同样如此。
图 3 突出显示了 R1 的路由表中的子路由。
最长匹配=最佳路由
路由器必须在路由表中找到最佳匹配意味着什么? 最佳匹配等于最长匹配。
要使数据包的目的 IPv4 地址和路由表中的路由形成匹配,两者之间从最左侧开始必须存在最少匹配位数。 这个最少匹配位数由路由表中路由的子网掩码决定。 请记住,IPv4 数据包仅包含 IPv4 地址,不包含子网掩码。
最佳匹配是指路由表中与数据包的目的 IPv4 地址从最左侧开始存在最多匹配位数的路由。 最左侧包含最多匹配位数(最长匹配)的路由总是首选路由。
在图中,将数据包发往 172.16.0.10。 路由器包含三个可能与该数据包匹配的路由:172.16.0.0/12、172.16.0.0/18 和 172.16.0.0/26。 在这三个路由中,172.16.0.0/26 的匹配位数最长,因此,选择该路由来转发数据包。 请记住,这几条路由必须达到其子网掩码所指定的最少匹配位数,才会被视为匹配路由。
数据包到达路由器接口时,路由器会检查 IPv4 报头,确定目的 IPv4 地址,并继续该路由器查找过程。
在图 1 中,路由器检查含有 IPv4 数据包目的地址最佳匹配的 1 级网络路由。
1. 如果最佳匹配是 1 级最终路由,则使用该路由转发数据包。
2. 如果最佳匹配是 1 级父路由,则继续下一步。
在图 2 中,路由器检查该父路由的子路由(子网路由),以找到最佳匹配的路由。
3. 如果在 2 级路由中存在匹配的路由,则使用该子网转发数据包。
4. 如果所有 2 级子路由都不符合匹配条件,则会继续执行下一步。
在图 3 中,路由器继续在路由表中搜索 1 级超网路由以寻找匹配条目,如果存在默认路由,也会对其进行搜索。
5. 如果此时存在匹配位数相对较少的 1 级超网路由或默认路由,那么路由器会使用该路由转发数据包。
6. 如果路由表中没有匹配的路由,则路由器会丢弃数据包。
注意:如果路由仅参考下一跳 IP 地址而不参考送出接口,那么必须将其解析为包含送出接口的路由。 为此会对下一跳 IP 地址执行递归查找,直到将该路由解析为某个送出接口。
IPV6路由表条目
IPv6 路由表的组件非常类似于 IPv4 路由表。 例如,通常使用直连接口、静态路由和动态获知的路由。
由于 IPv6 设计成无类路由,因此所有路由实际上都是 1 级最终路由。 没有属于 2 级子路由的 1 级父路由。
将如图所示的拓扑用作本部分的参考拓扑。 注意拓扑中的以下内容:
R1、R2 和 R3 配置在全网状拓扑中。 所有路由器都包含通向不同网络的冗余路径。
R2 是边界路由器,并与 ISP 连接;但是不通告默认静态路由。
IPv6 的 EIGRP 已配置在所有三台路由器上。
图
在图 1 中使用 show ipv6 route 命令显示 R1 的路由表。 虽然命令输出在 IPv4 版本中的显示略有不同,但是仍包含相关路由信息。
图 2 突出显示所连网络和直连接口的本地路由表条目。 配置和激活该接口时会添加三个条目。
如图 3 所示,直连路由条目显示以下信息:
路由来源 - 确定路由的获取方式。 直连接口包含两个路由来源代码(C 确定直连网络,而 L 确定此网络为本地路由)。
直连网络 - 直连网络的 IPv6 地址。
管理距离 - 确定路由来源的可靠性。 IPv6 使用与 IPv4 相同的距离。 值为 0 表示最好最具可信度的来源。
度量 - 确定到达远程网络分配值。 较低的值表示首选路由。
传出接口 - 将数据包转发至目的网络时要使用的出接口。
注意:串行链路配置有参考带宽以观察 EIGRP 度量如何选择最佳路由。 参考带宽不是现代网络的真实表现。 它只用于使链路速度可视化。
图
图 1 突出显示了三个远程网络(例如,R2 LAN、R3 LAN 和 R2 和 R3 之间的链路)的路由表条目。 EIGRP 已添加这三个条目。
图 2 显示了 R1 上通往 R3 上的远程网络 2001:DB8:CAFE:3::/64 的路由的路由表条目 该条目确定以下信息:
路由来源 - 确定路由的获取方式。 通用代码包括 O (OSPF)、D (EIGRP)、R (RIP) 和 S(静态路由)。
目的网络 - 确定远程 IPv6 网络的地址。
管理距离 - 确定路由来源的可信度。 IPv6 使用与 IPv4 相同的距离。
度量 - 确定到达远程网络分配值。 较低的值表示首选路由。
下一跳 - 用于确定转发数据包的下一路由器的 IPv6 地址。
传出接口 - 确定用于将数据包转发至最终目的地的出接口。
IPv6 数据包到达路由器接口时,路由器会检查 IPv6 报头并确定目的 IPv6 地址。 路由器随后继续进行以下路由器查找过程。
路由器检查 1 级网络路由,查找与 IPv6 数据包的目的地址最为匹配的路由。 与 IPv4 一样,最长匹配就是最佳匹配。 例如,如果路由表中有多个匹配,路由器会选择包含最长匹配的路由。 将包含 IPv6 前缀的数据包目的 IPv6 地址的最左侧位数与 IPv6 路由表中的前缀长度进行匹配来建立匹配。
远程IPv6网络条目
路由器检查 1 级网络路由,查找与 IPv6 数据包的目的地址最为匹配的路由。 与 IPv4 一样,最长匹配就是最佳匹配。 例如,如果路由表中有多个匹配,路由器会选择包含最长匹配的路由。 将包含 IPv6 前缀的数据包目的 IPv6 地址的最左侧位数与 IPv6 路由表中的前缀长度进行匹配来建立匹配。
总结
动态路由协议的用途包括:发现远程网络,维护最新的路由信息,选择到达目的网络的最佳路径,在当前路径不再可用时能够找出新的最佳路径。 CIDR和VLSM
网络通常将静态路由和动态路由结合使用。
路由协议可以分为有类协议和无类协议,距离矢量和链路状态,内部网关协议和外部网关协议
链路状态路由协议的路由器可以通过获取所有其他路由器的信息来创建网络的完整视图(即拓扑结构)。
RIP和RIPng
路由过程
路由器使用动态路由协议来促进路由器间路由信息的交换。 动态路由协议的用途包括:发现远程网络,维护最新的路由信息,选择到达目的网络的最佳路径,在当前路径不再可用时能够找出新的最佳路径。 虽然动态路由协议需要的管理开销比静态路由少,但是它们却需要占用一部分路由器资源(包括 CPU 时间和网络链路带宽)来运行协议。
网络通常将静态路由和动态路由结合使用。 对于大型网络而言,动态路由是最佳选择,而对于末节网络而言,静态路由则更好一些。
路由协议负责发现远程网络和维护准确的网络信息。 当拓扑结构发生变化时,路由协议会在整个路由域中传播该信息。 使所有路由表达到一致的过程称为收敛,在路由表一致的状态下,同一路由域或区域中的所有路由器包含关于网络的完整准确的信息。 一些路由协议比其他的路由协议收敛得更快。
路由协议可以分为有类协议和无类协议,距离矢量和链路状态,内部网关协议和外部网关协议。
距离矢量协议将路由器作为通往最终目的地的路径上的“路标”。 路由器唯一了解的远程网络信息就是到该网络的距离(即度量)以及可通过哪条路径或哪个接口到达该网络。 距离矢量路由协议并不了解确切的网络拓扑图。
配置了链路状态路由协议的路由器可以通过获取所有其他路由器的信息来创建网络的完整视图(即拓扑结构)。
路由协议使用度量来确定到达目的网络的最佳路径(即最短路径)。 不同的路由协议可能会使用不同的度量。 通常,度量值越低表示路径越佳。 度量可能取决于跳数、带宽、延迟、可靠性和负载。
有时,路由器会同时通过静态路由和动态路由协议获取到达到同一目的网络的多个路由。 如果路由器从多个路由来源获取到目的网络信息,Cisco 路由器会使用管理距离值来确定使用哪一个路由来源的信息。 每个动态路由协议都有唯一的管理距离值,静态路由和直连网络也不例外。 管理距离值越低,路由来源的优先级别越高。 直连网络始终是优先选用的路由来源,其次是静态路由,然后是各种动态路由协议。
show ip protocols 命令会显示路由器当前配置的 IPv4 路由协议设置。 对 IPv6 请使用 show ipv6 protocols。
对于链路状态路由协议(如 OSPF)而言,链路是路由器上的一个接口。 有关各条链路的状态的信息称为链路状态。 所有链路状态路由协议应用 Dijkstra 算法来计算最佳路径。 Dijkstra 算法通常称为 SPF(最短路径优先)算法。 此算法使用每条路径从源到目标的累计开销来确定路由的总开销。
=============================================================================
第四章
1、交换机的mac地址表的学习:
源MAC地址和接收端口关联到mac地址表中--3个规则
(1)本地MAC地址表不存在此源MAC地址,则加入到MAC地址表中
(2)本地MAC地址表存在此源MAC地址,检查端口(MAC地址表中的端口和接收此数据帧的端口)是否一致,一致则更新老化时间
(3)本地MAC地址表存在此源MAC地址,检查端口(MAC地址表中的端口和接收此数据帧的端口)是否一致,不一致则更新端口,更新成接收端口,并重置老化时间
注意点:(1)在同一台设备里,一个mac地址同时只能和一个端口关联
(2)在同一台设备里,一个端口可以学习到多个MAC地址
(3)老化时间:默认5分钟。在老化时间内,没有接收到某个mac地址的更新信息,则将此mac地址删除,留有更多的空间学习新的mac地址。
2、交换机的数据转发:依据是mac地址表。
(1)接收到已知单播帧(数据帧是单播帧,目的mac在自己本地的mac地址表中能找的到),只从对应的特定的端口转发
(2)接收未知单播帧、组播帧、广播帧,会从所有其他端口转发(泛洪)
(3)数据帧的过滤:从哪个接口接收的数据帧,不会再从这个接口把这个数据帧转发出去,即入接口不能是出接口。
3、冲突域的概念:发生冲突的范围。在任意时刻,只能有一台设备发送信号,多台设备同时发送信号就会发生冲突。
4、广播域的概念:广播帧所能够到达的范围。默认情况下,二层交换机的所有端口都是同一个广播域。
路由器或者三层交换机的三层接口可以隔离广播域。
5、交换机转发数据帧的方式:
(1)存储转发交换:接收到完整的数据帧,对数据帧进行错误检查,检查无误,则转发数据帧;检查有误则丢弃。
自动缓冲,数据帧的入接口和出接口速度不匹配的时候,就将数据帧存在缓冲区,再将其发送出去。
(2)直通转发交换:不需要接收到完整的数据帧,只要读取到数据帧的目的mac地址就执行转发操作。
不进行错误检查,没有自动缓冲。
思科主要的LAN交换方法:存储转发交换。
1、分层网络:接入层、分布层、核心层
2、设备:固定配置、模块化配置、堆叠式
=========================================================================================
第五章
1、交换机的加电启动过程-5个过程
在思科LAN交换机首次开启时,它将经过以下启动顺序。
1.首先交换机将加载存储在 ROM中的加电自检(POST)程序。POST会检查CPU子系统。
它会测试CPU、 DRAM以及构成闪存文件系统的闪存设备部分。
2. 按下来,交换机加载启动(运行引导)加载程序软件(.b文件)。启动加载程序是存储在ROM中并在POST成功完成后立即运行的小程序。(CPU初始化)
3启动加载程序执行低级CPU初始化。启动引导加载程序初始化CPU寄存器,寄存器控制物理内存的映射位置、内存量以及内存速度。
4.启动加载程序初始化系统主板上的闪存文件系统。(flash)
5.最后,启动加载程序并找到默认的IOS操作系统软件映像加载到内存,并将对交换机的控制权转交给1OS。
注:配置文件:指导设备如何运行,第3步启动配置 .cfg:如何运行此设备
2、设备加载镜像文件(操作系统文件)的过程以及模式按钮加载应用程序文件
设备加载镜像文件(操作系统文件)的过程
1.交换机尝试使用BOOT环境变量中的信息自动启动
2.交换机尝试加载并执行它找到的第一个可执行文件,对flsh文件进行彻底搜索
3.IOS操作系统使用在startup-config文件(存储在NVRAM中)中找到思科IOS命令初始化接口(协议)
注:无startup-config 以空配置运行(相当于初始化出产设置)
镜像:多个.b文件(应用程序文件)
2960交换机:IOS映像文件通常包含在与映像文件(操作系统)同名的目录中
使用boot system 全局配置模式命令设置BOOT环境变量(文件位置,运行哪一个.b文件)
dir:查看配置文件
CRT:仿真软件
从系统崩溃中恢复(从控制台方式引导加载启动程序)
1.通过控制台电缆将PC连接到交换机控制台端口
2.拔下交换机电源线
3.将电源线重新连接到交换机,并按住模式按钮(15s),此时system(系统)LED还是呈绿色闪烁
4.直到system LED 先后呈短暂的琥铂色和稳定的绿色;然后松开Mode(模式)按钮
5.启动加载程序命令行的switch,提示符会显示在PC上的终端仿真软件中(CRT)
模式按钮加载应用程序文件
Mode按钮用于在端口状态、端口双工、端口速度和端口LED的PoE (如果支持)状态之间进行切换。以下内容描述LED指示灯的用途及其颜色的含义。
3、各种LED的含义和显示的颜色的含义
系统LED:显示系统是否通电以及是否正常工作。如果LED不亮,则表示系统未通电。
如果LED为绿色,则系统运行正常。如果LED呈琥珀色,则表示系统已通电但无法正常运行。
冗余电源系统(RPS) LED:显示RPS状态。如果LED不亮,则RPS未启动成未正确连接。
如果LED为继色。则RPS已连接并准备好提供备用电源。
如果LED为绿色闪烁,则RPS已连接但不可用,因为它正在为另台设备供电。
如果LED呈球珀色,则RPS处于备用模式或故障状态。如果LED为速珀色闪烁,则交换机内部供电发生故障,面RPS正在供电。
端口状态LED: 当LED为绿色时,表示选择了端口状态模式。该模式为默认模式。选择后,端口LED将显示不同含义的颜色。
如果LED不亮,则表示无链路,或者端口已管理性关闭。
如果LED为绿色,表示存在一条链路。如果LED为绿色闪烁,则表示有活动正在进行,而且端口正在发送或接收数据。
如果LED交替呈现绿色和琥珀色,则表示出现链路故障。
如果LED呈琥珀色,则端口受到阻塞,以确保在转发域中不存在环路而且没有转发数据(通常,端口在被激活后的前30秒内将保持此状态)。
如果LED为琥珀色闪烁,则端口受到阻塞,以防止转发域中可能存在环路。
端口双ILED:当LED为绿色时,表示选择了端口双工模式。选择后,端口LED不亮,说明端口处于半双工模式。
如果端口LED为绿色,则端口处于全双工模式。端口速度LED:表示选择了端口速度模式。选择后,端口LED将显示不同含义的颜色。如果LED不亮,则端口运行速度为10Mbit/s。
如果LED为绿色,则端口运行速度为100Mbits。
如果LED为绿色闪烁,则端口运行速度为1000Mbit/s。
物以太网供电(PoE) 模式LED:如果支持PoE,则存在PoE模式LED。如果LED不亮,则表示没有选择PoE模式,而且没有任何端口断电或处于故障状态。
如果LED为琥珀色闪烁,则没有选择PoE模式,但至少有一个端口断电或存在PoE故障。
如果LED为绿色,则表示选择了PoE模式,而且端口LED将显示代表不同含义的颜色。
如果端口LED不亮,则PoE关闭。如果端口LED为绿色,则PoE打开。
如果端口LED交替呈现绿色和流珀色,则PoE遭到拒绝,因为向用电设备供电将超过交换机的电源容量。
如果LED为疏珀色闪烁,则PoE因发生故障而关闭。如果LED呈琥珀色,则端口的PoE已禁用。
4、本地管理交换机(配置线-console)
控制台
5、远程管理和访问设备:配置ip地址、子网掩码、网关等
telent:明文发送用户名和密码(安全性不高) 端口号:23
ssh:端口号:23,密文发送用户名和密码,需要在.b文件中包含k9(k9表示可以加密)
6、vlan的基本概念以及虚拟接口(SVI)的概念
vlan基本概念:隔离广播域
SVI:划分vlan且配置ip地址
注:
已加载的特定思科IOS文件中由BOOT环境变量指定。在思科IOS加载后,它将启动配置文件中找到的命令初始化并配置接口。如果思科IoS文件缺失或已损坏,则可以使用启动加载程序重新加载或从问题中恢复。
交换机运行状态可通过前面板上的一-组 LED显示。这些LED将显示诸如端口状态、双工和速度等信息。
在管理VLaN的SVI上配置IP地址,以实现对设备的远程配置。必须在交换机上使用ip defult gateway命令配置属于管理VLAN的默认网关。如果默认网关配置不正确,则不可能实现远程管理。建议使用安全外壳(SSH)提供对远程设备的安全( 加密)管理连接,以阻止对未加密用户名和密码的嗅探(使用Telnet等协议时可能会发生)。
交换机的一个优势就是设备之间能够进行有效的全双工通信,使通信速宰加倍。虽然可以指定交施机按口的速度和双工设置,但建议您允许交换机自动设置这些参数以避免出错。
交换机端口安全是有助于阻止第2层攻击的必备要求。交换机端口应该配置为只允许具有特定源MAC地址的帧进入。应该拒绝来自未知源MAC地址的帧,并使端口关闭以阻止进步攻击。
7、基础配置:
dir/boot system/erase/delete/各种show命令/vlan的基本命令
8、远程管理和访问交换机的配置分四步:
(1)创建管理vlan和管理vlan的虚拟接口,配置ip/子网掩码
(2)将物理接口加入到管理vlan中
(3)配置网关
(4)保存配置
备注:arp协议:地址解析协议,解析IP地址所对应的MAC地址。
交换机的工作原理:学习转发
交换机进行MAC地址学习,源MAC地址转发:目的MAC地址
负责将同一网络的各个设备连接起来
局域网交换机:在接入层指引和控制通向整个网络资源的数据流
接入层:二层交换机连接PC
9.端口安全和违规
2、交换机端口安全:
(1)静态安全mac地址:在端口上手动配置的 mac 地址。以此方法配置的 mac 地址存储在地址表中,并添加到交换机的运行配置中。
(2)动态安全mac地址:通过动态获取并只存储在地址表中的 mac 地址。以此方式配置的 mac 地址在交换机重新启动时将被移除。
(3)粘性安全 mac地址:可以通过动态获取或手动配置,然后存储到地址表中并添加到运行配置中的 mac 地址。
注意:(1)如果将粘性安全 MAC 地址保存到启动配置文件中,则当交换机重新启动或接口关闭时,接口无需重新获取地址。若不保存,则这些地址将会丢失。
(2)如果使用 no switchport port-security mac-address sticky 接口配置模式命令禁用粘性获取,则粘性安全 mac 地址仍作为地址表的一部分,但会从运行配置中移除。
3、交换机端口安全的配置:
(1)静态:需要开启端口安全特性,再一一绑定
s1(config)#interface f0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport port-security mac-address xxxx.xxxx.xxxx //有多少个mac地址就配置多少条此命令绑定上
(2)动态:需要开启端口安全特性,配置学习mac最大个数
s1(config)#interface f0/1
s1(config-if)#switchport mode access
s1(config-if)#switchport port-security
s1(config-if)#switchport port-security maximum 10
(3)粘性:需要开启端口安全特性,配置学习mac最大个数,启用粘性获取,并保存运行的配置
s1(config)#interface f0/1
s1(config-if)#switchport mode access //配置接口模式用来访问
s1(config-if)#switchport port-security //接口上启用端口安全模式
s1(config-if)#switchport port-security maximum 10 //配置端口上允许的安全地址最大数量
s1(config-if)#switchport port-security mac-address sticky //启用粘性获取
s1#copy running-config startup-config //保存运行的配置
4、端口安全的违规模式:
(1)保护:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。出现安全违规时不会发出通知。不增加违规计数器。不关闭端口。
(2)限制:当安全 MAC 地址的数量达到端口允许的限制时,带有未知源地址的数据包将被丢弃,直至移除足够数量的安全 MAC 地址或增加允许的最大地址数。在该模式下,出现安全违规时会发出通知。增加违规计数器。不关闭端口。
(3)关闭:端口安全违规可导致接口立即变为错误禁用状态,并关闭端口 LED。它增添了违规计数器。可以通过no shutdown解决。
(4)修改违规模式命令:switchport port-security violation {protect | restrict |shutdown}
5、注意:默认禁用端口安全
默认安全 MAC 地址最大数量为1
默认违规模式:关闭
默认粘性地址获取关闭
6、各种show命令使用:
(1)检验交换机当前运行的 IOS是否包含密码(加密)特征和功能:show version //包含组合“k9”的 IOS 文件名支持密码(加密)特征和功能
(2)检验ssh状态:show ssh
(3)检验ssh的设置:show ip ssh
(4)显示交换机或指定接口的端口安全设置:show port-security interface 接口
(5)显示粘性 MAC 地址会添加到 MAC 地址表:show mac add
(6)显示粘性 MAC 地址会添加到运行配置中:show run | begin 接口
(7)显示所有交换机接口或某个指定接口上配置的所有安全 MAC 地址,并附带每个地址的老化信息:show port-security address
(8)显示处于错误禁用状态的交换机端口:show interfaces 接口 status 或者 show port-security interface 接口
==============================================================================
第六章
本章包括以下学习目标:
6.1
解释在中小型企业网络中 VLAN 网段如何广播域。
VLAN 在交换网络中的用途。
在多交换环境中,交换机如何根据vlan配置转发帧。
6.2
实施 VLAN 以分割中小型企业网络。
根据要求配置交换机端口以分配给 VLAN。
配置 LAN 交换机的中继端口。
对交换网络中的 VLAN 和中继配置进行故障排除。
6.3
配置中小型企业网络中 VLAN 间的路由。(对vlan间的两个pc如何进行配置)
描述配置 VLAN 间路由的两个选项。
配置传统 VLAN 间路由。
配置 VLAN 间单臂路由。
1、vlan的概念:虚拟局域网,二层网络的逻辑分区。
将一个大的物理局域网划分成多个小的虚拟局域网,将广播域控制在一个vlan内,即一般情况,一个vlan就是一个广播域,vlan间二层隔离。
2、产生原因(背景):隔离广播域。
广播风暴,设备发出的广播帧在广播域中传播,占用网络带宽,降低设备性能
无vlan的情况:使用路由器or三层交换机的三层接口实施3层路由过程,使用第3层设备可以控制各个网段(包括)由vlan创建的网段之间的流量
此时用的是路由器or三层交换机的三层接口来划分广播域
vlan:主要是为了实现网段之间的路由
物理局域网通过vlan,进行逻辑划分,划分成逻辑局域网
vlan定义:
VLAN 允许管理员根据功能、项目组或应用等因素划分网络,而不考虑用户或设备的物理位置。
VLAN 根据特定用户分组实施访问和安全策略。
VLAN 是第 2 层网络的逻辑分区。
可创建多个分区,允许多个 VLAN 共存。
每个 VLAN 都是一个广播域,且通常使用其自己的 IP 网络。
VLAN 相互隔离,而且数据包只可以通过路由器在 VLAN 之间传递。
第 2 层网络的分区处于第 2 层设备内部,该设备通常是交换机。
VLAN 中的主机组不知道 VLAN 的存在。
3、优点:
(1)灵活构建vlan组,不需要考虑物理位置
(2)降低成本,减小广播域大小,更高性能
(3)改善安全性(二层)等
(4)提高IT员工效率
(5)简化项目管理和应用管理
4、vlan的类型:
(1)数据 VLAN - 用户生成的流量,也叫用户vlan,不包含语音vlan和管理vlan
(2)默认 VLAN - 在配置交换机之前,所有交换机端口成为此 VLAN 的一部分
(3)本地 VLAN - 用于未标记的流量
(4)管理 VLAN - 用于使用管理功能
注意:默认情况,所有端口都分配给vlan1,本地vlan为vlan1,管理vlan为vlan1。
语音vlan:
VoIP 流量对时间敏感,需要:
足够的带宽来保证语音质量。
高于其它网络流量类型的传输优先级。
可以绕过网络中的拥塞区域进行路由。
跨网络的延迟小于 150 毫秒。
接入端口可通过语音 VLAN 功能传送来自 IP 电话的 IP 语音流量。
5、vlan中继:
(1)VLAN 中继是传输多个 VLAN 流量的点对点链路,即trunk链路。
(2)通常交换机之间相连的端口为trunk端口,配置允许相应的vlan通过,不配置允许相应的vlan通过则允许所有vlan通过。
(3)如果要添加更多的vlan可通过,则把之前允许的也要带着。
vlan可以划分access和trunk接口
思科设备中,access端口和trunk端口的区别有哪些?(至少说出两种区别,4分)
1. VLAN中继是传输多个VLAN流量的点对点链路。而access路类型端口是一种交换机的主干道模式
2. trunk端口允许所有VLAN通过,access端口只允许特定VLAN通过;
3.access端口通常用于PC , 服务器之间;truck端口通常用于交换机与交换机之间
4. ACCESS模式可以允许多个vlan的报文不打标签,而TRUNK模式只允许缺省vlan的报文不打标签
5.trunk端口一般使用IEEE802.1q协议,而access端口不支持IEEE802.1q协议
vlan中继:
VLAN 中继是传输多个 VLAN 流量的点对点链路。
由于 VLAN 中继通常在交换机之间建立,因此,即使物理连接至不同交换机,同一 VLAN 的设备也可以通信。
VLAN 中继不与任何 VLAN 相关联;用于建立中继链路的中继端口也不与任何 VLAN 相关联。
思科 IOS 支持 IEEE802.1q(一种常用的 VLAN 中继协议)。
使用vlan控制广播域:
VLAN 可用于限制广播帧的范围。
VLAN 是其本身的广播域。
只在该 VLAN 中转发的特定 VLAN 中的设备发送的广播帧。
VLAN 有助于控制广播帧的范围以及这些帧在网络中的影响。
单播帧和组播帧也在始发 VLAN 中转发。
始发vlan:发出的数据来自哪一个vlan
6、vlan标签:标记数据帧所属vlan
(1)收到无标记的数据帧,发送到本地vlan
(2)收到标记的数据帧,则看端口是否允许其通过。
(3)access端口只允许一个vlan通过,即pvid是多少就允许多少通过。
(4)trunk端口可以允许多个vlan通过。
注意:pvid:端口vlan id。端口所属vlan。
标记以太网帧以便识别vlan
帧标记是将 VLAN 标识报头添加到帧的过程。
帧标记用于通过中继链路正确传输多个 VLAN 帧。
交换机标记帧,以确定它们所属的 VLAN。
存在不同的标记协议;IEEE 802.1Q 是常用的协议。
协议定义添加到帧的标记报头的结构。
在将 VLAN 标记放入中继链路前,交换机会将 VLAN 标记添加到帧,而且,通过非中继端口转发帧之前会删除标记。
一旦正确标记,帧可以通过中继链路经过任意数量的交换机,并且仍在目的地的正确 VLAN 中进行转发。
本地 VLAN 和 802.1Q 标记
发送到本地 VLAN 上的控制流量不应添加标记。
收到的无标记帧将保持无标记,而且,在转发时会放在本地 VLAN 中。
如果没有与本地 VLAN 相关联的端口,也没其他中继链路,那么将丢弃无标记帧。
在思科交换机上配置交换机端口时,要将设备配置为不发送本地 VLAN 上的有标记帧。
在思科交换机中,本地 VLAN 默认情况下为 VLAN 1。
7、vlan分类:
(1)普通vlan:2-1005(vlan1默认存在)。相关配置存储在 vlan.dat 中;ID 1002 到 1005 预留用于令牌环和光纤分布式数据接口 (FDDI) VLAN,这些 VLAN 是自动创建的,且无法删除
(2)扩展vlan:1006-4095。存储在运行配置中的配置 ;VLAN 中继协议 (VTP) 无法识别扩展范围的 vlan。
思科 Catalyst 2960 和 3560 系列交换机支持 4000 多个 VLAN。
VLAN 分为两类:
普通范围的 VLAN
VLAN 编号从 1 到 1005
相关配置存储在 vlan.dat 中(位于闪存中)
ID 1002 到 1005 预留用于令牌环和光纤分布式数据接口 (FDDI) VLAN,这些 VLAN 是自动创建的,且无法删除。
扩展范围的 VLAN
VLAN 编号从 1006 到 4096
存储在运行配置中的配置 (NVRAM)
VLAN 中继协议 (VTP) 无法识别扩展范围的 VLAN
8、vlan间路由实现的两种方式:
(1)一个路由器的接口作为一个vlan中主机的网关(不恰当方式),也就是传统的vlan路由
传统实践:
使用真实的路由器在 VLAN 之间路由。
各个 VLAN 均连接到不同的物理路由器接口。
数据包通过一个接口到达路由器,通过另一个接口路由并离开。
由于路由器接口连接至 VLAN,而且具有特定 VLAN 的 IP 地址,因此可实现 VLAN 之间的路由。
包含大量 VLAN 的大型网络需要大量的路由器接口。
准备工作:
传统 VLAN 间路由要求路由器具有多个物理接口。
各个路由器物理接口连接到唯一 VLAN。
各接口还配置有与特定 VLAN 相关联的子网的 IP 地址。
网络设备将路由器用作网关以访问连接至其他 VLAN 的设备。
(2)一个路由器的接口划分多个子接口,子接口和vlan关联,作为相应vlan中主机的网关,单臂路由
简述单臂路由的实现原理。
将路由器的一个接口通过配置子接口的方式,实现原来相互隔离的不同VLAN之间的互联互通。一个路由器的接口划分多个子接口,子接口和vlan关联,作为相应vlan中主机的网关。 “单臂路由器”是通 过单个物理接口(路由器和交换机之间只有一条外部链路)在网络中的多个VLAN之间路由流量的路由器配置。对路由器接口进行配置,使其以中继链路的方式运行,并将其与中继模式配置下的交换机端口 相连。 通过接收中继接口上来自相邻交换机的VLAN标记流量,以及通过子接口在VLAN之间进行内部路由,路由器便可实现VLAN间路由。之后,路由器通过用于接收流量的同一物理接口,将路由流量和标记 VLAN转发到目标 VLAN。
· 单臂路由:
单臂路由方法只使用路由器的一个物理接口。
路由器的一个物理接口配置为 802.1Q 中继端口,这样它可以识别 VLAN 标记。
创建逻辑子接口;每个 VLAN 一个子接口。
用子接口所代表的 VLAN 的 IP 地址配置各个子接口。
配置 VLAN 成员(主机)以将子接口地址用作默认网关。
准备工作:
传统 VLAN 间路由的一个替代方案是使用 VLAN 中继和子接口。
VLAN 中继允许单个物理路由器接口路由多个 VLAN 的流量。
路由器的物理接口必须连接到相邻交换机上的中继链路。
在路由器上,子接口是为每个唯一 VLAN 而创建的。
各个子接口都分配了特定于其子网或 VLAN 的 IP 地址,并配置为用于标记该 VLAN 的帧。
9、配置:
(1)创建vlan及命名:Switch(config)#vlan 10
Switch(config-vlan)#name pc4-5
(2)为vlan分配端口:Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
(3)删除vlan分配:Switch(config)#interface fastEthernet 0/1
Switch(config-if)#no switchport access vlan
(4)更改access端口的pvid(直接改):
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport access vlan 20
(5)删除vlan:Switch(config)#no vlan 10
(6)配置中继链路(trunk端口以及bendivlan和所允许通过的vlan):
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk native vlan 99(可选)
Switch(config-if)#switchport trunk allowed vlan 10,20
(7)将中继端口恢复到默认状态:
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#no switchport mode trunk
Switch(config-if)#no switchport trunk native vlan 99(可选)
Switch(config-if)#no switchport trunk allowed vlan 10,20
(8)单臂路由的配置在实验中已经给出
(9)各种show命令自己补全
相关术语和命令:(补全)
VLAN
逻辑广播域
数据 VLAN
默认 VLAN
本地 VLAN
管理 VLAN
show vlan brief
语音 VLAN
VLAN 中继
VLAN 分段
IEEE 802.1Q
VLAN 标记
规范格式标识符 (CFI)
用户优先级
VLAN ID
类型
show interfaces int switchport
普通范围的 VLAN
扩展范围的 VLAN
vlan vlan-id
name vlan-name
switchport mode access
switchport access vlan vlan-id
interface range
no switchport access vlan vlan-id
no vlan vlan-id
delete flash:vlan.dat
delete vlan.dat
show vlan
show interfaces
show vlan summary
show interfaces vlan vlan_id
switchport mode trunk
switchport trunk allowed vlan vlan_list
switchport trunk native vlan vlan_id
no switchport trunk allowed vlan
no switchport trunk native vlan
show interfaces switchport
no switchport access vlan vlan_id
show interfaces trunk
show interfaces int_id trunk
==========================================================================
第七章
ACL
7.1 ACL 工作原理
介绍 ACL 如何过滤流量。
介绍 ACL 如何使用反掩码。
介绍如何创建 ACL。
介绍如何放置 ACL。
7.2 标准 IPv4 ACL
配置标准 IPv4 ACL 过滤流量,以满足网络要求。
使用序列号编辑现有的标准 IPv4 ACL。
配置标准 ACL 来保护 vty 访问。
7.3 ACL 故障排除
介绍在应用了 ACL 后路由器如何处理数据包。
使用 CLI 命令排除常见标准 IPv4 ACL 错误
acl是对某些访问进行控制,是否可以访问的列表,可以起到数据安全的作用,是第一代防火墙,也称为包过滤,可用于交换机和路由器,是用来识别数据报文,识别三层/四层的信息的
acl包括的三个动作:permit(允许),deny(拒绝),重标记(标记数据报文的高低优先级,起到类似VIP的作用)
acl无法识别账号信息
ACL 是什么?
默认情况下,路由器并未配置 ACL;因此,路由器不会默认过滤流量。 它只会根据数据报文的目的ip查找路由表(象)进行转发
不过滤数据报文(流量),有路由条目就转发,没有就不转发
ACL 的用途:数据包过滤
数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议。
当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
ACL 是一系列被称为访问控制条目 (ACE) 的 permit 或 deny 语句组成的顺序列表。
acl配置规则:先精细(大),后粗广(小)
标准acl仅在第3层执行过滤,扩展acl在第3层和第4层执行过滤
标准acl的端口号:1-99 or 1300-1999
扩展acl的端口号:100-199 or 2000-2699
acl的默认步长(差值):10
标准acl和扩展acl的区别:
1.标准acl识别的是3层的数据报文,扩展acl识别的是3层和4层的数据报文
2.标准acl只能识别数据包的源ip地址,扩展acl既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等.
3.标准acl要尽可能的放在靠近目标的位置上,扩展acl要尽可能的放在靠近源的位置上
4.标准acl的端口为1-99 or 1300-1999,扩展acl的端口为100-199 or 2000-2699
5.扩展acl比标准acl更节约带宽资源
6.配置方式不同
ACL 工作原理
图
入站ACL:在数据包被路由到出站接口之前, 入站ACL过滤流入特定接口的数据包。
出站ACL:在数据包被路由之后,出站ACL过滤流入任意入站接口的数据包。
反掩码(通配符掩码):子网掩码反过来
通配符掩码位0:匹配地址中对应的值(一样)
通配符掩码位1:忽略地址中对应的值(可以不一样)
192.168.10.10 0.0.0.0匹配所有地址位
使用以关键字host开头的IP地址
(host 192.168.10.10)来缩写该反掩码
0.0.0.0 255. 255255 255忽略所有地址位
可使用关键字any来缩写表达式。
应用ACL的规则
每种协议、每个接口和每个方向只能有- -个ACL:
每种协议一个ACL (例如IPv4或IPv6)
每个方向一个ACL (例如IN或OUT)
每个接口-一个ACL (例如,GigabitEthemet0/0)
对于每种协议,一个ACL用于入站流量,另一个用于出站流量
注:不必在两个方向上都配置ACL,应用在接口的ACL数量及其方向将取决于所实施的要求
ACL最佳做法:
图
ACL 的放置位置
每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是:
扩展 ACL - 将扩展 ACL 放置在尽可能靠近需要过滤的流量源的位置上。
标准 ACL - 由于标准 ACL 不指定目的地址,所以其位置应该尽可能靠近目的地。
ACL 的放置位置以及所使用的 ACL 类型也可能取决于:网络管理员的控制范围、所涉及网络的带宽以及配置的简易程度。
使用 ACL 处理数据包:路由过程和 ACL
当帧进入接口时,路由器查看其第 2 层目标地址是否与其第 2 层接口地址匹配,或该帧是否是广播帧。
如果可以接受该帧地址,那么路由器将解封帧信息,并检查入站接口上的 ACL。
如果存在 ACL,则按照列表中的语句测试该数据包。
如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。
如果数据包被接受,将检查路由表条目来确定目标接口。
如果目标存在路由表条目,数据包将被转发到送出接口,否则数据包将被丢弃。
接下来,路由器检查送出接口是否具有 ACL。如果存在 ACL,则按照列表中的语句测试该数据包。如果数据包与某条语句匹配,则根据结果允许或拒绝该数据包。
如果没有 ACL 或数据包被允许,则将数据包封装在新的第 2 层协议中,并从相应接口转发到下一台设备。
总结:
介绍 ACL 如何过滤流量。
介绍 ACL 如何使用反掩码。
介绍如何创建 ACL。
介绍如何放置 ACL。
配置标准 IPv4 ACL 过滤流量,以满足网络要求。
使用序列号编辑现有的标准 IPv4 ACL。
配置标准 ACL 来保护 vty 访问。
介绍在应用了 ACL 后路由器如何处理数据包。
使用 CLI 命令排除常见标准 IPv4 ACL 错误。
======================================================================================
第八章
dhcp:
8.1 DHCPv4
介绍 DHCPv4 在中小型企业网络中的运行方式。
将路由器配置为 DHCPv4 服务器。
将路由器配置为 DHCPv4 客户端。
排除交换网络中 IPv4 的 DHCP 配置故障。
8.2 DHCPv6
介绍 DHCPv6 的工作原理。
为中小型企业配置无状态 DHCPv6。
为中小型企业配置有状态 DHCPv6。
对交换网络中的 IPv6 DHCP 配置进行故障排除。
dhcp引入:
ipv4地址 通常在小型网络中手动配置,不灵活,所以为了方便,引入dhcp
dhcp:固定的设备:手动配ip地址
如果设备的物理位置和逻辑位置发生改变的时候使用dhcp
设备间的通信:每台设备都需要有ip地址,网络层,二层的逻辑地址 实际上通信是用MAC地址,在数据链路层
有了MAC地址还要使用ip地址的原因:
MAC地址:48位2进制数 16进制的12位数表示
MAC地址间无任何联系,通信十分麻烦,引入ip地址
ipv4:单播,组播,广播
ipv6:单播,组播,任播
ip地址开始使用abcde5类地址
d类地址:组播地址
(保留)e类地址:不分网络地址/主机地址,它第一个字节取值范围为240-254 也就是240.0.0.1-255.255.255.254
特性的ip地址,全0网段,当前主机
全1的ip地址:广播地址
dhcp:动态主机配置协议
架构:c/s 客户端/服务器 服务器给客户端分配ipv4地址,网关,dhcp地址等
由于计算机和用户经常更改其物理位置和逻辑位置,对于管理员来说,每次移动时,分配新的ip地址既麻烦又耗时
c/s 客户端/服务器
客户端是需要获得ip地址的一端,可以是PC,服务器,打印机,交换机和路由器的接口
服务器是向外分配ip地址的设备,可分配地址池,租期,dhs服务器的ip地址,访问Internet,网关,ip域
DHCPv4:
动态分配 IPv4 地址和其他网络配置信息(子网掩码,网关)ip域
适用于网络管理员的有用且省时的工具
动态分配或租用地址池中的 IPv4 地址
思科路由器可配置为提供 DHCPv4 服务。
管理员配置 DHCPv4 服务器,使租约到期。然后,客户端必须申请另一地址,但通常是把同一地址重新分配给客户端。(无需更新ARP表象)
默认租期:1天 租期过期:回收ip地址
dhcp服务器:我可以为您提供IP地址和其他信息。 可以接收消息,提供ip地址
dhcp客户端:我需要DHCP服务器的服务来获取IP寻址和其他信息。 需要ip地址,问dhcp服务器
dhcpv4工作过程:
图
同一网段/广播域有一台设备是dhcp服务器,在同一广播域中才能接收到客户端发送的广播报文
第一次客户端广播的原因:无自己的ip地址,不知道网络中谁是dhcp服务器,无ip地址,需要在客户端上开启动态获取ip地址的功能
第一次服务器单播的原因:客户端发送的discover发现报文中源MAC地址是自己的
第二次客户端广播的原因:告诉其他设备我要用该ip地址
第二次服务器单播的原因:单独给相应的pc机
discover发现报文:问服务器,我想请求一个地址
offer回复(提供/服务)报文:告诉请求的PC我可以给你提供一个ip地址,此时接收到discover报文,回复offer报文
request请求报文:我要向给我offer报文的服务器请求那个你可以给我的那个ip地址
ack应答(确认)报文:你的请求已确认
ack报文作用:防止ip地址冲突的机制,此ARP报文为免费ARP报文,检测自己获得的ip地址,有无被别人使用
1.无回复,成功,无人用
2.有回复,有人用
服务器检测该ip地址是否可以用,有无分配给其他设备,若有,拒绝该请求,若无,确认请求
客户端接收到确认报文后,检测ip地址是否可用,向外发送ARP报文
1.若在规定时间内,无回应的话,则成功
2.有回复,说明有其他设备使用该ip地址,若在使用,则发生冲突
dhcpv4续约:
客户端单播(租约50%时),服务器单播回应(确认)
客户端单播原因:之前已经获得过ip地址,知道服务器的ip地址(位置),知道给谁发resqurest报文
服务器单播原因:统一客户端,同一地址
租期(默认一天(24h)):可进行更改
当租期达到87.5%时广播报文(从头开始)
C/S:是应用层的协议(dhcp):基于传输层udp实现
客户端发送dhcp报文,源端口号:68(c),目的端口号:67(s)
telent和ssh基于TCP实现
dhcpv4消息格式
图
操作代码(code):指定通用消息类型(表示dhcp报文是什么样的报文) 1表示请求消息,2表示回复消息
硬件类型:确定网络中的使用的硬件类型(数据链路层运行那种协议),1表示以太网,15表示帧中继,20表示串行线路
硬件地址长度:指定地址的长度
跳数:控制消息的转发。客户端传输请求前将其设置为0
客户端的ip地址:c的ip地址,在发送请求消息时用0填充,一开始无,设置为0
您的ip地址:服务器回复客户端的ip地址消息
不确定补全 服务器的ip地址:客户端不知道服务器广播发送discover报文(255.255.255.255)
单播:dhcp服务器的ip地址消息
网关ip地址:服务器回复客户端的网关消息(dhcpv4中继代理时传输dhcpv4消息,网关地址可以帮助不同子网or网络的c和s之间传输dhcpv4请求和回复)
客户端硬件类型:指定客户端的物理层
图
dhcpv4客户端动态获取ip地址,dhcpv4服务器建立ARP表象(广播)
从左到右,是从下层到上层的封装过程,分别是数据传输层,网络层,传输层,discover
MAC:媒体访问控制地址
CIADDR:客户端IP地址
GIADDR:网关IP地址
CHADDR:客户端硬件地址
DHCP客户端会发送带DHCPDISCOVER数据包的IP广播。在本例中,DHCP服务器在同一网段,它将处理此请求。服务器注意到GIADDR字段为空白;因此得知客户端位于同一网段上。服务器还会记录请求数据包中的客户端的硬件地址。
图
单播
192.168.1.254是s的地址,192.168.1.10是c的地址
CIADDR是客户端的ip地址消息,GIADDR无网关用0填充
DHCP服务器从该网段的可用地址池中选取一个IP地址,以及其他网段和全局参数,DHCP服务器将它们放入DHCP数据包的相应字段。然后,DHCP服务器会使用A的硬件地址(即: CHADDR字段)构造一个正确的帧发回至客户端
dhcpv6:
有三种动态分配ipv6全局单播地址的方法
主机使用无状态地址自动配置(SLAAC)(两个标志位都为0,默认的一种方式)(ipv6邻居发现协议实现的)实现即插即用性 无dhcpv6服务器
SLAAC和无状态dhcpv6(无状态dhcpv6):SLAAC +DHCPv6 (O的标志位为1),ipv6地址从slaac获得的,但是其他的比如dns服务器地址是从DHCPV6服务器获得的。
有状态dhcpv6:只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
SLAAC 使用 ICMPv6 路由器请求消息和路由器通告消息提供通常本由 DHCP 服务器提供的寻址和其他配置信息。
接口标识符的算法:1MAC地址 2进制制表示 3.插入FFFE 4.将第7位若为0则改为1 转化为16位进制表示(4位一转)
ipv6由3部分组成,源,目的,前缀
图
路由器请求(rs):将RS信息发送至IPv6所有路由器组播地址FF02:2(源地址,链路本地地址)
路由器通告(ra):RA消息包括本地网段的前缀和前缀长度,路由器定期发送RA消息或响应RS消息。默认情况下,思科路由器每路200秒发送一次RA消息。
始经将RA消息发送到Pv6全节点组播地址FF02::1(都是自己的地址)
pc获得前缀和前缀长度后,在根据自己的MAC地址or随机生成的接口标识符就会生成一个全新的ipv6地址,且ipv6地址与三层设备的接口在统一网段中
图
路由发现协议:地址解析,邻居不可达检测,地址重复检测,无状态地址自动配置,路由器重定向
dhcpv6工作过程:
rs:ipv6所有路由器组播
ra:ipv6所有结点组播,前缀,前缀长度以及自己生成的接口标识符和ipv6地址
ipv6全局单播:SLAAC,不知是否发送地址冲突,进行检测,有了自己的ipv6地址后进行重复地址检测(邻居不可达协议功能之一)
ipv6请求结点单播:发送NS报文检测是否可用,若一定时间内未收到NA报文,则无人用,邻居不可达
PC1收到包含本地网络前缀和前缀长度的RA信息。PC1会使用此信息创建自己的ipv6全局单播地址,PC1现在还有一个64位网络前级,但是还需要一个64位接口ID(IID)来创建全局单播地址
PCI可以使用两种方式创建自己的唯ID。
EUI-64:PCI将使用EUI-64进程通过其48位MAC地址创建个IID.
随机生成:该64位ID可以是客户端操作系统随机生成的数值。
PCL可以将64位前缀与64位ID相结合创建个128位IPv6全局单播地址,PCl会将路由器的本地链路地址用作其IPY6默认网关地址。
由于SLAAC是无状态的过程,PCI必须先验证比新创建的IPv6地址是唯一的,然后才能使用。PC1 使用一个
特殊构造的多播地址发送ICMPv6邻居请求(NS )消息,此地址称为请求节点组播地址,它复制PC1的IPv6地址的最后24位。如果没有其他设备回应邻居通告(NA) 消息,则实际上确保该地址是唯一的,可被PC1使用如果PC1接收到邻居通告,那么该地址就不是唯一的, 而且操作系统必须确定可用的新接口ID
此过程是ICMPv6邻居发现的一部分, 称为重复地址检测(DAD)。由RFC 4443指定的DAD使用ICMPv6实现。
SLAAC 和DHCPv6
是否要配置客户端以使用SLAAC DHCP6 或两者的组合来自动获取其IPV6地址信息取决于RA出消息中的设置。
这两个标记是管理地址配置标记(M标记)和其他配置标记(0标记) (RA中的标志位M/N)
SLAAC(只有路由器通告,SLAAC,无dhcp服务器)
此选项指示客户端仅使用RA消息中的信息。包括前缀、前缀长度、DNS 服务器、MTU和默认网关信息。DHCPv6服务器没有更多可用信息。使用EUI-64或随机生成的值并组合来自RA的前级和接口ID创建IPy6全局单播地址。(检验)
需要将M标记和0标记重置为其初始值0。使用no ipv6 nd managed-config-flag 和ipv6 nd other-config-flag接口配置模式命令完成以上操作。(可不进行配置)
无状态DHCPv6
我要使用RA报文里面的网络层的信息(前缀和前缀长度),但dns服务器地址是从DHCPV6服务器获得的。
无状态DHCPv6选项通知客户端使用RA消息中的信息来编址,但是从无状态DHCPv6服务器提供额外配置参数。
客户瑞使用RA 消息中的前缀和前级长度,以及EUI-64或随机生成的ID创建其IPv6全同单播地址。
无状态DHCPv6获取为提供的其他信息。
无状态DHCPv6服务器只提供客户端的配置参数,不提供IPv6地址的配置参数。
对于无状态DHCPv6,将0标记设置为1,而M标记保留默认设置0。O标记的1值用于通知客户端无状本DHCPV6服务器提供其他配置信息。
请使用ipv6 nd oher-config-flag进行配置
有状态dhcpv6:
只有DHCPV6服务器(M标志位为1),客户端所有的信息都是来源于DHCPv6服务器。
使用 ipv6 nd managed-config-flag进行配置
dhcpv6操作(与dhcpv4操作相同)
1.路由器请求(RS)
2.路由器通告(RA)(M=1)
3.DISCOVER报文,发现报文,请求所有的dhcp服务器
4.通告单播
5.请求or信息,请求单播
6.应答单播
注:若RA信息中指示了无状态/有状态dhcpv6,那么该设备将开始dhcpv6客户端/服务器通信
过程:征集(组播),以下过程都是单播(通告,requret,应答)
无状态或有状态DHCPv6或两者的组合均以来自路由器的ICMPv6 RA消息开头。RA消息可能是定期消息,也可能是使用RS消息的设备请求的消息。
当RA指示无状态DHCPv6或有状态DHCPv6时,将调用DHCPv6操作。通过UDP发送dhcpv6消息。从服务器到客户端的DHCPv6消息使用UDP目标端口546。客户端使用UDP目标端口547将DHCPv6消息发送到服务器
征集:FF02::1:2。 此组播地址有本地链路范围,这意味着路由器不会将消息转发到其他网络
通告:通告DHCPv6客户端该服务器可用于DHCPv6服务
requret请求:客户端根据是否正在使用有状态或无状态DHCPv6使用DHCPv6 REQUEST 消息orINFORMATION-REQUEST单播消息回应服务器
无状态 DHCPv6客户端:客户端只请求配置参数(如DNS服务器地址)的DHCPv6服务器。客户端使用来自RA消息的前级和自动生成的接口ID生成自己的IPv6地址。
有状态DHCEx6客户端:客户端将DHCPv6 REQUEST消息发送到服务器以获取服务器的IPv6地址和所有其他配置参数。
应答:服务器将DHCr6 REPLY单播消息发送到包含DHCPv6 REOUEST 消息或 DHCPV6 INFORMTION REQUEST消息所请求信息的客户端。
总结:
介绍 DHCPv4 在中小型企业网络中的运行方式。
将路由器配置为 DHCPv4 服务器。
将路由器配置为 DHCPv4 客户端。
排除交换网络中 IPv4 的 DHCP 配置故障。
介绍 DHCPv6 的工作原理。
为中小型企业配置无状态 DHCPv6。
为中小型企业配置有状态 DHCPv6。
对交换网络中的 IPv6 DHCP 配置进行故障排除
=====================================================================
第九章
NAT:
9.1 网络层协议
介绍在中小型企业网络中 NAT 如何提供 IPv4 地址的可扩展性。
9.2 配置 NAT
在边缘路由器上配置 NAT 服务来提供中小型企业网络 IPv4 地址的可扩展性。
9.3 对 NAT 配置进行故障排除
对中小型企业网络中的 NAT 问题进行故障排除。
IPv4地址一共32位
产生背景:IPv4地址不够用
IPv4地址一开始分为A,B,C三类地址--浪费IP地址
子网划分 (网络规模变大后,A,B,C不够用)
变长子网掩码VLSM和超网CIDR
NAT
但都没有从根本上解决问题--IPv6创建时:就有(私网/公网的划分)
沙漠中的每一粒沙子都有IP地址
网络地址转换:从IPv4中拿出3个网段作为私有IP地址
IPv4地址转换:获得的IP地址为私有ip地址
只要上网就需要NAT技术
NAT:私有IP地址 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255
作用:1.任何组织都可以使用私有地址空间
2.私有地址在internet无法路由
3.如果采用私有地址的网络需要访问internet必须在出口部署NAT设备
NAT:私网--公网的转换
NAT提供了私有地址到公有地址的转换
何谓NAT:转换网络IPv4的过程 节约公有IP地址 在边缘路由上配置,以进行转换(企业内网,internet)
NAT有很多作用,但其主要作用是节省了公有IPv4地址。它通过允许网络在内部使用私有IPv4地址,而只在需要时提供到公有地址的转换,从而实现这一作用。NAT还能在一定程度上增加网络的私密性和安全性。
配置一个或多个有效的公有ipv4地址。这些公有地址称为NAT地址池(不是想用就能用的)
私网:私有地址的组网
公网:公有地址的组网
在私网中可以使用公网(私用)
NAT设备:作NAT配置的设备一般是路由器和防护墙一般是连接INTERNET的设备
做NAT内网私有地址--公有地址后,才能访问外网
NAT包括四类地址:
1.内部本地地址(私网中的私有ip地址)
2.内部全局地址(私网中的公有ip地址)
3.外部本地地址(公网上的公有ip地址)
4.外部全局地址(公网上的公有ip地址)
内部地址:经过NAT转换的设备的地址(私网地址(内网设备的ip地址))
外部地址:目标设备的地址(公网地址(外网设备的ip地址))
本地地址:内网中出现的报文的地址
(公网换私网)全局地址:外网中出现的报文的地址
图
公网专私网,作为pc的地址,内部地址
web服务器,pc对NAT无感知
源ip地址 209.165.201.1
目的ip地址 209.165.200.226
R2上:
209.165.200.226-----192.168.10.10
静态地址转换(静态NAT):本地地址(私有地址)和全局地址(公有地址)之间的一对一地址映射。由网络管理员进行配置,并保持不变。
动态地址转换(动态NAT):本地地址和全局地址之间的多对多地址映射。
端口地址转换(PAT):本地地址和全局地址之间的多对一地址映射。此方法也称为(NAT过载)
没有解决地址不足的问题 静态NAT使用本地地址和全局地址的一对一地址映射。这些映射由管理员进行配置,并保持不变。只有一个ip地址用端口号进行区分
动态NAT使用公有地址池,并以先到先得的原则分配这些地址。
为了满足所有同时发生的用户会话需要,动态NAT要求有足够的公有地址可用。
可用端口号:0-65535但是0-1023知名端口号不能用例如ssh:22telnet:23。
端口地址转换(PAT):也需要地址池 网络层+传输层(ip地址+端口号)
ISP分配一个地址给路由器,但是多名家庭成员可以同时访问internet。这是NAT的最常用方式。
使用不同的TCP端口号
PAT过程还验证传入数据包是请求数据包,因此在一定程度上提高了会话的安全性。
使用端口号将响应数据包转发至正确的内部设配。
静态 NAT
本地地址和全局地址一对一映射
由网络管理员进行配置,并保持不变
动态 NAT
使用公有地址池,并以先到先得的原则分配这些地址
为了满足所有同时发生的用户会话需要,动态 NAT 要求有足够的公有地址可用
端口地址转换 (PAT)
将多个私有 IPv4 地址映射到单个公有 IPv4 地址或少数地址
也称为“NAT 过载”
验证是否已请求传入的数据包
使用端口号将响应数据包转发至正确的内部设备
动态NAT与PAT的区分
2个表
NAT的优势
保护合法注册的公有寻址方案
NAT增强了与公有网络连接的灵活性
NAT为内部网络编址方案提供了一致性(外网网络也一样)
NAT隐藏用户ipv4地址(提供网络安全)
NAT 的缺点(NAT与acl相配合)
性能下降(替换来,替换去)
端到端功能降低
端到端 IP 可追溯性会丧失(NAT表象时效短)
隧道会变得更加复杂
源 TCP 连接会中断(PC连接,三次握手,老化时间)
总结:
如何使用 NAT 帮助缓解 IPv4 地址空间耗尽的问题。
NAT 可以节约公有地址空间,并节省相当大的添加、移动和更改等管理开销。
IPv4 NAT,包括:
NAT 特性、术语和一般操作
不同类型的 NAT,包括静态 NAT,动态 NAT 和 NAT 过载
NAT 的优势和缺点
配置、验证和分析静态 NAT、动态 NAT 和 NAT 过载。
如何使用端口转发从互联网访问内部设备。
使用 show 和 debug 命令对 NAT 进行故障排除。
如何使用 IPv6 NAT 在 IPv6 地址和 IPv4 地址之间进行转换。
==============================================================
第十章
设备发现、管理和维护
第 10.1 节
重点说明 CDP 和 LLDP 在确定物理拓扑时发挥的作用。
让学生明白如果不加选择地地使用 CDP 和 LLDP 可能导致网络安全风险。
第 10.2 节
强调网络监控的价值不仅在于帮助您了解网络健康状况,同时也可避免后期出现问题。
向学生阐释系统日志服务器是一个免费/付费的应用程序,不同服务器的功能级别各有差异。
提醒学生如果没有时间戳,就无法查看同步消息,因此故障排除会愈加困难。
第 10.3 节
强调路由器维护、交换机配置和 IOS 文件的重要性。
配置文件可保存和恢复到文本文件中。
利用 TFTP 和 USB 可备份和恢复配置文件和 IOS 文件。
明白 IOS 命名约定在确定 IOS 功能时起到的作用。
向学生说明获得所需功能的许可的重要性。
10.1 设备发现
利用发现协议将网络映射到拓扑。
10.2 设备管理
配置中小型企业网络中的 NTP 和系统日志。
10.3 设备维护
维护路由器和交换机配置以及 IOS 文件。
设备发现:
CDP 概述
思科发现协议
物理连接思科设备的邻居发现
配置和验证 CDP
show cdp neighbors
show cdp interface
cdp run
cdp enable
使用 CDP 发现设备
设备标识符 - 邻居设备的主机名
端口标识符 - 本地和远程端口的名称
功能列表 - 设备是路由器还是交换机
平台 - 设备的硬件平台
使用LLDP发现设备
LLDP 概述
供应商中立的第 2 层邻居发现协议,类似于 CDP
配置和验证 LLDP
show lldp
lldp run
lldp transmit
lldp receive
使用 LLDP 发现设备
show lldp neighbors
设备管理
NTP:
设置系统时钟
手动配置日期和时间
配置网络时间协议 (NTP)
NTP 操作
时间源分层系统
第 0 层 - 权威时间源
层数表示服务器距离时间源的远近
配置和验证 NTP
ntp server ip-address
show ntp associations
show ntp status
show clock
系统日志工作原理
系统日志简介
支持设备发送消息至系统日志服务器
大部分网络设备都可支持
首要功能:
日志信息
选择类型
指定目的地
系统日志消息格式
严重性级别 0-7 级
设备 - 服务标识符
服务时间戳
增强了实时调试和管理。
service timestamps log datetime
系统日志配置
系统日志服务器
解析输出并将消息置于预定义的列
如果生成日志消息的网络设备配置了时间戳,则时间戳将予以显示
网络管理员可以导航系统日志服务器上编译的大量数据。
默认日志记录
将各种严重级别的日志消息发送至控制台
show logging
用于系统日志客户端的路由器和交换机命令
logging ip-address
logging trap level
logging source-interface source-interface interface-number
验证系统日志
show logging
使用管道字符 (|) 限定显示的日志消息
设备维护
路由器和交换机文件系统
show file systems - 列出所有可用的文件系统
dir - 列出文件系统的内容
pwd - 检验当前工作目录
cd - 更改当前目录
备份和恢复使用文本文件
路由器和交换机文件维护:
使用 TFTP 进行备份和恢复
copy running-config tftp
copy startup-config tftp
使用 USB 端口进行备份和恢复
show file systems
dir usbflash0:
copy run usbflash0:/
密码恢复
进入 ROMMON 模式
更改配置寄存器设置为 0x2142
更改原始启动配置文件
保存新配置
IOS 系统文件
IOS 映像管理
TFTP 服务器作为备份位置
IOS 映像和配置文件的备份位置
将 IOS 映像备份到 TFTP 服务器的步骤
验证 TFTP 服务器的访问权
确认有足够的磁盘空间
将 IOS 映像复制到 TFTP 服务器
copy source-url tftp:
将 IOS 映像复制到设备的步骤
从 Cisco.com 下载 IOS 映像并将其传输到 TFTP 服务器
验证设备到 TFTP 服务器的访问权
确认设备上有足够的磁盘空间
从 TFTP 服务器上复制映像
copy tftp: destination-url
boot system 命令
在启动过程中,使用命令加载新映像
boot system file-url
软件许可
许可流程
购买要安装的软件包或功能
获取许可证
思科许可证管理器
思科许可门户
需要 PAK 编号和 UDI
show license udi
安装许可证
license install stored-location-url
reload
许可证验证和管理
许可证验证
show version
show license
激活评估使用权许可证
license accept end user agreement
license boot module module-name technology-package package-name
备份许可证
license save file-sys://lic-location
卸载许可证
禁用许可证
license boot module module-name technology-package package-name disable
清除许可证
license clear feature-name
no license boot module module-name technology-package package-name disable
总结:
CDP(思科发现协议)是在数据链路层上用于发现网络的思科专有协议。它可与其他物理互联的思科设备共享设备名称和 IOS 版本等信息。
LLDP(链路层发现协议)是在数据链路层上用于发现网络的供应商中立协议。网络设备会向邻居通告自身身份和功能等信息。
NTP 在一组分布式时间服务器和客户端之间同步当天时间。这让网络设备在特定事件发生时间上达成一致,如路由器和交换机之间断开连接的时间。
可以捕捉系统日志消息并发送到系统日志服务器,以便网络管理员调查链路发生故障的时间。
设备维护包括备份、恢复和升级 TFTP 服务器上的 IOS 映像和配置文件或者使用 USB 存储设备。
升级 IOS 映像还包括与软件许可相关的任务。
了解 IOS 映像名称约定在确定所包含的 IOS 功能集时发挥的作用。
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=
本文来自博客园,作者:凡是过去,皆为序曲,转载请注明原文链接:https://www.cnblogs.com/longhai3/p/15887740.html
如有疑问,欢迎提问
#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=#+=