单臂路由
单臂路由是一种通过在路由器的一个接口上配置逻辑接口,来实现不同Vlan之间互通的方法。
实例:
#配置SW1的VLAN
[SW1]vlan 2
#配置端口vlan略
[SW1]int g1/0/4
#把端口g1/0/4配制成trunk口
[SW1-GigabitEthernet1/0/4]port link-type trunk
#配置端口允许Vlan1和vlan2通过
[SW1-GigabitEthernet1/0/4]port trunk permit vlan 1 2
#为R1配置单臂路由
#配置子接口
[R1]int g0/0.1
#将子接口封装为dot1q协议,并且把它分配给vlan1
[R1-GigabitEthernet0/0.1]vlan-type dot1q vid 1
#配置子接口ip地址
[R1-GigabitEthernet0/0.1]ip address 192.168.1.254 24
[R1]int g0/0.2
[R1-GigabitEthernet0/0.2]vlan-type dot1q vid 2
[R1-GigabitEthernet0/0.2]ip address 192.168.2.254 24
控制访问列表ACL
基于包过滤的控制访问技术,广泛应用于路由器与三层交换机。
ACL准从顺序匹配,先匹配顺序在前的访问控制规则。
ACL有方向性,可以分别控制出/入数据包。
实例:
#配置基本ACL,使192.168.1.0不能访问192.168.2.0
[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[R2]interface g0/2
[R2-GigabitEthernet0/2]packet-filter 2000 outbound
#配置高级ACL,使PC1可以访问server1的Telnet,但不能访问FTP,PC2反之
[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 23
[R1]interface g0/0
[R1-GigabitEthernet0/0]packet-filter 3000 inbound
#配置高级ACL,使使PC3 不能访问 SERVER1
[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0
[R2]interface g0/2
[R2-GigabitEthernet0/2]packet-filter 3000 inbound
NAT
NAT是一种可以把私网地址转换成公网地址的技术,
NAT有三种类型:
- 静态NAT:将内网中的IP映射为公网IP,一个内部主机唯一占用一个公网IP
- 动态NAT:将内网的IP动态的映射为公网IP,未注册的IP地址映射到注册IP地址池中的一个地址
- 端口映射:将多个私网ip地址映射到一个公网ip地址上的不同端口。
#配置NAPT
[R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]nat address-group 1
[R1-address-group-1]address 100.1.1.1 100.1.1.1
[R1]interface g0/1
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1
#配置EASY IP
[R3]acl basic 2000
[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R3]interface g0/0
[R3-GigabitEthernet0/1]nat outbound 2000
#配置NAT SERVER
[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.10 20 21
OSPF
ospf,链路状态协议,每个服务器负责发现和维护邻接关系,并将包含邻居列表和链路费用的LSA报文在AS(自治系统)中周期性泛洪,每当链路状态发生变化时将重新生成LSA并发送。
ospf中还有DR和BDR的概念,
为了减少网络中的数据包数量,ospf协议网络会选举出DR和BDR,
先比较优先级,优先级相同比较RID,高者DR,次之BDR。
所有非DR/BDR路由器将与DR和BDR都建立完全邻接关系,交换LSA。
基础配置
- 配置IP
#进入端口
int g0/2
#添加IP
ip add 100.1.1.1
- 配置rid
#配置RID
[R2]ospf 1 router-id 1.1.1.1
- 宣告直连网段和环回口
#配置所属区域
[R2-ospf-1]area 0
#0 为骨干区域
[R2-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[R2-ospf-1-area-0.0.0.0]network 100.1.1.0 0.0.0.255
#宣告另一区域的直连网段
[R2-ospf-1-area-0.0.0.0]area 1
[R2-ospf-1-area-0.0.0.1]network 100.3.3.0 0.0.0.255
配置静默接口
[R3-ospf-1]silent-interface g0/2
引入默认路由
[R1-ospf-1]default-route-advertise
配置stub区域
当ASBR(边界路由器)中引入了大量的外部路由时,可以通过将一些区域设置为stub(末节)区域,不允许AS外部LSA在区域内泛洪。减少区域内数据包的数量。
- 如果要将一个区域配置成Stub区域,则该区域中的所有路由器必须都要配置stub命令。
- 如果要将一个区域配置成Totally Stub区域,该区域中的所有路由器必须配置stub命令,而其中该区域的ABR路由器需要配置stub no-summary 命令。
#引入静态路由
[R1-ospf-1]default-route-advertise
#配置stub
[R2-ospf-1-area-0.0.0.1]stub
[R3-ospf-1-area-0.0.0.1]stub
[R4-ospf-1-area-0.0.0.1]stub
配置NSSA区域
NSSA区域是"not-so-stubby" area的简写,它比stub区域更具操作性,
取消了STUB关于ASE的双向传播的限制(区域外的进不来,区域里的也出不去),改为单向限制(区域外的进不来,区域里的能出去)。
#引入静态路由
[R1-ospf-1]default-route-advertise
#配置nssa
[R2-ospf-1-area-0.0.0.1]nssa
[R3-ospf-1-area-0.0.0.1]nssa
[R4-ospf-1-area-0.0.0.1]nssa
配置ISIS
ISIS(中间系统到中间系统)协议是一种应用于电信营运商的路由协议,标准的ISIS协议是为无连接网络服务设计的,不直接适合于IP网络。我们常说的ISIS协议通常是指适用于IP网络的集成ISIS。
- 与OSPF的区别:
- ISIS以网段分割区域,OSPF以路由器分割区域(ISIS一个路由器上的所有接口必定都在同一区域)
- 路由类型:
- Level 0:终端与路由器之间
- Level 1:区域内路由
- Level 2:区域间路由
- level 3:跨路由域路由
- 路由器类型:
- Level 1路由器:区域内路由器
- Level 2路由器:骨干网路由器
- Level 1-2路由器:同时连接Level 1路由器和Level 2路由器的路由器
基础配置
- 在路由器启动ISIS并配置地址
[R1]isis
[R1-isis-1]network-entity 10.0000.0000.0000.0001.00
- 在端口启用ISIS
[R1]int g0/0
[R1-GigabitEthernet0/0]isis enable 1
- 配置L1路由器类型
[R1]isis
[R1-isis-1]is-level level-1
- 配置L1邻接关系
需要在网段两端的端口上都配置
[R2]int g0/1
[R2-GigabitEthernet0/1]isis circuit-level level-1
[R3]int g0/1
[R3-GigabitEthernet0/1]isis circuit-level level-1
设置路由开销
[R1]int g0/0
[R1-GigabitEthernet0/0]isis co 5
配置路由渗透
路由渗透不会把L2的明细路由传递至L1路由器,只会向L1路由发布一条默认路由
[R2]isis
[R2-isis-1]address-family ipv4
[R2-isis-1-ipv4]import-route isis level-2 into level-1
配置路由验证
需要在两端的端口上都配置
[R2]int g0/2
[R2-GigabitEthernet0/2]isis authentication-mode simple plain 123456
[R3]int g/2
[R3-GigabitEthernet0/2]isis authentication-mode simple plain 123456
配置BGP
BGP是边界网关协议,是一种在多个AS之间使用的一种路由协议。AS通过keepalive维护邻接关系。
小规模私有网络IGP(RIP、ospf),大规模私有网络用IBGP,互联网用EBGP。
- IBGP(Interior BGP)
- 同一个AS内的BGP连接
- IBGP运行在一个AS内部,没有AS_PATH,所以IBGP不转发来自于其他IBGP的路由
- 默认不会修改下一跳路由,直接将路由转发
- EBGP(Exterior BGP)
- 不同AS间的BGP连接
- EBGP通过AS_PATH和其他元素过滤来自于自己的路由
- 会修改路由的下一跳路由,再转发
-
EBGP会修改路由的下一跳路由,再转发;而IBGP默认不会修改下一跳路由,直接将路由转发。
- 但是若有三个AS,AS1,AS2和AS3,它们首尾相接,AS2在中间。
AS1中有R1和R2,AS2中有R3,AS3有R4和R5,其中R2、R3、R4之间通过EBGP连接,而R1和R2、R4和R5通过IBGP连接。
由于IBGP不会修改下一跳地址,所以R1的下一跳地址就是R3,但由于R1和R3之间没有直连,所以相应的路由会被标记为无效路由。
这时就需要在R3连接R1时,修改R2上IBGP的默认行为,设置next-hop-self,让IBGP在传递路由的时候,将路由的next-hop改为自己。
- 但是若有三个AS,AS1,AS2和AS3,它们首尾相接,AS2在中间。
-
通过IBGP学习到的路由,不能传递给其他的IBGP。
- 由于不能转发,所以要求所有IBGP路由器全都互相建立邻接关系,形成一个全连接的网络,但是这会给管理与配置带来问题。
- 解决以上问题有两种方法,BGP反射和BGP联盟。
基础配置
AS100:R1
AS200:R2(L0:2.2.2.2/32)、R3(L0:3.3.3.3/32)、R4(L0:4.4.4.4/32)
AS300:R5
R3仅运行OSPF协议
#R1,有一端口IP为100.1.1.1/24
#配置AS号,如R1处于AS100
[R1]bgp 100
#宣告邻接关系
[R1‐bgp‐default]peer 100.1.1.2 as‐number 200
[R1‐bgp‐default]address‐family ipv4 unicast
[R1‐bgp‐default‐ipv4]peer 100.1.1.2 enable
#R2,有一端口IP为100.1.1.2/24
#配置AS号
[R2]bgp 200
#宣告邻接关系
[R2‐bgp‐default]peer 100.1.1.1 as‐number 100
#与AS边界路由器(ABR)宣告邻接关系
[R2‐bgp‐default]peer 4.4.4.4 as‐number 200
#将源端口改为环回口
[R2‐bgp‐default]peer 4.4.4.4 connect‐interface LoopBack 0
[R2‐bgp‐default]address‐family ipv4 unicast
[R2‐bgp‐default‐ipv4]peer 100.1.1.1 enable
[R2‐bgp‐default‐ipv4]peer 4.4.4.4 enable
#修改默认路由规则,更改下一跳地址为本机
[R2‐bgp‐default‐ipv4]peer 4.4.4.4 next‐hop‐local
#R4,有一IP为100.4.4.4
[R4]bgp 200
[R4‐bgp‐default]peer 100.4.4.5 as‐number 300
[R4‐bgp‐default]peer 2.2.2.2 as‐number 200
[R4‐bgp‐default]peer 2.2.2.2 connect‐interface LoopBack 0
[R4‐bgp‐default]address‐family ipv4 unicast
[R4‐bgp‐default‐ipv4]peer 100.4.4.5 enable
[R4‐bgp‐default‐ipv4]peer 2.2.2.2 enable
[R4‐bgp‐default‐ipv4]peer 2.2.2.2 next‐hop‐local
#R5,有一IP为100.4.4.5
[R5]bgp 300
[R5‐bgp‐default]peer 100.4.4.4 as‐number 200
[R5‐bgp‐default]address‐family ipv4 unicast
[R5‐bgp‐default‐ipv4]peer 100.4.4.4 enable
BGP路由反射
路由反射器(RR,Route Reflector)将从IBGP对等体中学到了路由反射给其他IBGP对等体,类似OSPF中的DR。
R1和R2建立EBGP邻居,R2使用对等体组与R3/R4/R5建立IBGP邻居
[R2]bgp 200
[R2-bgp-default]group in internal
[R2-bgp-default]peer 3.3.3.3 group in
[R2-bgp-default]peer 4.4.4.4 group in
[R2-bgp-default]peer 5.5.5.5 group in
将R2配置为RR:
[R2-bgp-default-ipv4]peer in reflect-client
[R2-bgp-default-ipv4]reflector cluster-id 2001
BGP联盟
通过在AS中建立子自治域(使用私有AS)来减少AS内的连接数量。