kok电子竞技

单元3：使用RIP实现中小型网络互连《高级路由技术》(理论篇）主讲教师：XXX技术背景某学校考虑校园网出口路由器性能，使用RIP路由实现网络连通，RIP路由以其消耗资源少，管理简单等优点，适应该学校网络出口带宽管理需求。为了优化路由表，实施RIP路由汇总，控制路由传播，优化网络出口带宽。另外，为了防止来自外网中攻击，避免伪装成的合法路由器接收并修改路由信息，在出口路由器配置RIPv2安全认证，保护网络安全。学习目标掌握RIP路由更新机制。会处理RIP路由环故障。配置RIPv2路由安全认证。掌握RIP被动接口，单播更新。3.1深入了解RIP协议RIP称为距离矢量路由协议，通过路由跳数来衡量。跳数（hopcount）是报文从一个节点到目的节点经过路由器数目。通过RIP路由协议生成的路由表中的每一项，都包含了最终目的地址、到达目的节点经过的路径下一跳节点（nexthop）等信息。3.1.1RIP路由概述3.1深入了解RIP协议RIP最多支持跳数为15，即跳数16表示不可达。对于超过15跳网络，RIP就有局限性。RIP协议处理是通过UDP协议封装，使用520端口来操作，所有的RIP消息都封装在UDP数据报文中。3.1.1RIP路由概述3.1深入了解RIP协议RIP每30秒就收到一次来自邻居路由器路由更新；如果经过180秒，一条路由表项没有得到更新，路由器就认为它失效，把状态修改为down。如果经过240秒，该路由表项仍没有得到更新和确认，这条路由信息就按照规则，将从路由表删除。其中，30秒，180秒和240秒延时，都由计时器控制，分别是更新计时器（Update

Timer）、无效计时器（Invalid

Timer）和刷新计时器（Flush

Timer）。3.1.2RIP定时器3.2RIP学习更新机制RIP路由在初始化时，从参与接口发送请求数据包，向相邻RIP路由器请求完整路由表。当路由器更新周期到达时，路由器向外广播自己路由表。这时，路由器发出路由更新中只有直连网段路由，其跳数在到达邻居路由表时加1。3.2.1RIP学习生成路由表3.2RIP学习更新机制RIP路由有两种消息报文，响应报文和请求报文。请求报文中每条路由都被处理，为路由建立度量和路径。路由器B收到邻居路由器A路由更新，把1.0.0.0/8网络添加到路由表中，修改跳数为1。3.2.1RIP学习生成路由表3.2RIP学习更新机制因为RIPv1kok电子竞技本缺陷，RIPv2kok电子竞技本在1994年提出。RIPv2没有完全更改kok电子竞技本1内容，增加一些新特性，使得RIPv2将更多网络加入路由表。在RIPv2kok电子竞技本每一条路由信息中加入子网掩码，所以RIPv2是无类路由协议。RIPv2使用组播地址224.0.0.9发送路由更新报文，优化了传输效率。RIPv2还支持身份认证，利用明文或者MD5算法来实现安全身份认证，这可以让路由器确认它所学到路由信息，保障了路由传播安全。3.2.2RIP路由协议kok电子竞技本3.3处理RIP路由环路路由环是路由器在学习RIP路由过程中故障现象。如网络拓扑改变后，网络开始重新收敛，网络收敛缓慢产生不协调，或者矛盾的路由选择条目，就发生路由环路的问题。RIP协议产生了路由环后，路由器对无法正常接收处理RIP报文，导致RIP路由更新报文在网络上循环发送，造成网络资源严重损耗。3.3.1了解RIP路由环：3.3处理RIP路由环路RIP路由环过程不断循环，直到所有路由表中到达网络4.0.0.0/8网络度量变成16，造成网络不可达的故障，也就是计数到无穷大（CounttoInfinity）。那时，路由信息超时，从路由表中删除。从这个例子看出，由于路由器B和C之间形成路由环路，导致路由故障出现。3.3.1了解RIP路由环：3.3处理RIP路由环路防止RIP路由环路方法：路由器B不把从路由器C学习到路由，通告给路由器C。同样，也不把从路由器A学习到路由，通告给路由器A；这种方法称为水平分割。水平分割保证RIP路由器记住每一条RIP路由信息来源，不在收到这条路由接口上，再次发送从该接口学到RIP路由。这是保证不产生路由环路的最基本措施。3.3.2防止RIP路由环方法3.3处理RIP路由环路毒性逆转是当RIP路由器学习到一条毒化路由（度量值为16）时，在没有应用水平分割情况下，对外通告毒化路由。路由器B响应这个更新，修改自己路由表，并立即回送（触发）包含4.0.0.0/8度量值为16的更新，这就是毒性逆转。3.3.2防止RIP路由环方法3.4配置RIP被动接口，使用单播更新RIPv1使用广播更新；RIPv2使用组播更新，无论是RIPv1还是RIPv2都还可以使用单播更新。开启单播更新之后，RIP除使继续使用组播和广播更新，还可以使用单播更新外。也就是开启单播更新后，RIP路由更新没有减少，反而增加了。但有个特殊情况：如果配合使用使用RIP被动接口，可以抑制从某个接口上发送的广播和组播更新；但是，被动接口不抑制单播更新。因此，在采用单播更新时，可以利用被动接口技术，消除其它不必要的路由更新。3.5配置RIP路由首先，创建RIP路由进程，并定义与RIP路由进程相关联网络。在路由进程配置模式中，执行以下命令可以启动RIP动态路由协议。需要注意的是，Network命令需要一个有类网络号（没有子网掩码），即A、B、C三类网络（kok电子竞技本1和2都是如此）。如果在Network命令中使用一个带子网IP地址，路由器也会接受这个命令，但会修改Network命令，自动匹配为A、B、C有类网络。3.5.1RIP路由基本配置3.5配置RIP路由RIP路由自动汇总技术是当携带子网的路由穿越有类网络边界时，将自动汇总成有类网络路由。默认情况下，RIPv2进行路由自动汇聚；RIPv1不支持该功能。RIPv2路由自动汇总功能，提高了网络的伸缩性。如果有汇总路由存在，在路由表中将看不到包含在汇总路由内的子网路由，大大缩小路由表规模。RIPv2路由再对外通告汇总路由时，比单独逐条路由进行通告更有效率。因为RIPv2在查找RIP数据库时，汇总路由会得到优先处理，忽略子网路由可以减少处理时间。3.5.2配置RIPv2路由自动汇总3.5配置RIP路由RIP提供了时钟调整的功能，你可以根据网络的具体情况进行时钟调整，使RIP路由协议能够运行的更好。可以根据网络具体情况调整时钟，使RIP协议能够运行得更好。默认情况下，RIP提供更新时间为30秒；刷新时间为120秒；路由无效时间为180秒，路由清除时间为240秒。通过调整以上时钟，可能会加快路由协议的收敛时间以及故障恢复时间。要调整RIP时钟，在RIP路由进程配置模式中执行以下命令。3.5.3调整RIP时钟3.5配置RIP路由路由器之间路由信息交换的安全也是保障网络安全重要之一，如需要保证进入路由表的信息是可靠，避免网络中的攻击者试图引入无效路由来欺骗路由器：或者发送非法路由更新消息试图破坏网络；或通过欺骗路由器发送数据到错误目的地址，试图捕获网络数据包；或者把路由条目发向错误地址，导致路由信息泄露。通过配置RIPv2路由身份认证，增加RIP路由更新安全。RIPv2能够通过更新消息所包含口令，来验证某条路由选择消息源合法性。3.5.4配置RIP水平分割3.5配置RIP路由RIPv2是距离矢量路由协议，不需要建立邻居关系，其身份认证是单向的关系，即路由器1通过了路由器2的身份认证时（路由器2是被认证方），路由器1就接收路由器2发送来的路由。反之，如果路由器1没通过路由器2时（路由器2是被认证方）身份认证，路由器1将不能接收路由器2发送来的路由。路由器1认证了路由器2（路由器2是被认证方），不代表路由器2也能认证了路由器1（路由器1是被认证方）。明文认证时，被认证方发送keychian时，发送最低ID值的key，并且不携带ID；认证方接收到key后，和自己keychain的全部key进行比较，只要有一个key匹配就通过对被认证方的认证。3.5.5配置RIPv2身份认证3.5配置RIP路由使用下面这几个命令，有针对性检查RIP和接口配置。Router(config)#ShowipripRouter(config)#ShowipripdatabaseRouter(config)#Showipinterfacebrief这些命令输出结果提供大量信息。通过这些命令，可以看到RIP进程是否已正确运行，关联接口是否激活，计时器是否合适等重要信息。3.5.6RIP检验与排错【网络实践】:实施RIPv2身份认证出口路由器安全是网络安全一个重要组成部份，某公司为了防范外网中的攻击者，利用路由更新技术，对出口路由器可能造成的攻击行为，需要在出口路由器上实施身份认证，保护网络安全。【任务描述】【设计过程】省略好好学习天天向上