局域网路由基础 1
索引 1 路由和路由器 2 路由表简介 3 路由表查找过程 4 路径的确定与交换功能 5 静态路由协议 6 动态路由协议 7 ACL
1 路由和路由器 3
1.1 路由 就是通过互联的网络把信息从源地址传输到目的地址的活动 Routing 比较 :routing routed
1.2 路由器是计算机 路由器的基本组件 -CPU RAM ROM 操作系统 路由器是网络组成的中心 - 路由器通常用于两种连接 : -WAN 连接 ( 连接到 ISP) -LAN 连接
路由器的 CPU 和存储器 路由器的组成及功能 CPU 执行操作系统的指令 随机访问存储器 (RAM) RAM 中内容断电丢失 运行操作系统 : 运行配置文件 : IP 路由表 : ARP 缓存 : 数据包缓存区 : 只读存储器 (ROM) 保存开机自检软件., 存储路由器的启动引导程序 bootstrap 指令或者 ctrl 程序 基本的自检软件 迷你版 IOS. 非易失 RAM (NVRAM) 存储启动配置. 这包括 IP 地址, 路由协议, 主机名 闪存 运行操作系统 ( 例如 Cisco IOS) Interfaces 拥有多种物理接口用于连接网络. 接口类型举例 :
路由器组件 路由器软件 Internetwork Operating System (IOS)
1.3 路由器启动步骤 路由器启动的主要步骤 检测路由器硬件 Power-On Self Test (POST) 执行引导装入程序 定位加载 Cisco IOS 软件 - 定位 IOS - 加载 IOS 定位加载启动配置文件或进入配置模式 - 启动程序搜寻配置文件
Show version 或者 display version
1.4 路由器接口 路由器管理接口 : Console 口 Auxiliary 口 路由器物理接口使得路由器接受或发送数据包 每个接口连接到一个独立的网络 路由器外部由各种插孔和插座组成 接口类型 : - 以太网 - 快速以太网 - 串口 -DSL -ISDN -Cable
两组主要的路由器接口 1. 局域网接口 : 被用来连接局域网 拥有二层 mac 地址 可被分配三层 IP 地址 通常由 RJ-45 接口组成 2. 广域网接口 用于连接外部网络. 依靠广域网技术, 可应用二层地址. 使用三层地址
端口和接口的区别 端口 :port 接口 :interface
1.5 路由器和网络层 路由器和网络层路由器借助目的 IP 地址转发数据包 路由表决定数据包的路径. 确定最佳路径 包被封装成帧 帧通过媒介以比特流的形式排列
Routers Operate at Layers 路由器接收一串编码比特流 比特流被解码后传至二层 路由器解压缩数据帧 保留数据包传至第三层 - 在这层检测目的 IP 地址决定路由路径 数据包被压缩封装送至出口
2 路由表简介 15
2.1 路由表介绍 路由表存储在 RAM 中, 包含以下信息 : 直连网络 一个设备连接到另一个路由器接口时会出现 远程网络连接 这个网络并非直接连接到某一台路由器 网络的详细信息包括源信息, 网络地址和子网掩码, 下一条路由的 IP 地址 建立路由表的三种途径 : 直连路由 直接连到路由器上的网络 静态路由 管理员手工构建路由表 动态路由 路由器之间动态学习到的路由表
2.2 直连网络 Show ip route 用于查看路由表
添加一个直连网络到路由表 直连路由出现在路由表的条件 1. 接口应该 up up. 2. IP 地址通过接口分配. 思科网络技术学院理事会. http://www.catc.edu.cn 18
2.3 静态路由 路由表中的静态路由 - 包含 : 网络地址和子网掩码以及路由下一跳 IP 地址或出接口 - 在路由表中用 S 标出 - 在静态或动态路由被使用之前, 路由表中必须包含与远程网络相关的直连路由 何时使用静态路由 - 路由器较少 - 唯一外连出口 - 星型拓扑
静态路由
现实世界的静态路由
2.4 动态路由 动态路由协议 - 向路由表中添加远程网络 - 探索网络 - 更新和维护路由表 自主网络探索 - 通过共享路由表信息路由器能探索到新的网络
动态路由 维护路由表 - 动态路由协议用来共享路由信息维护更新自身的路由表 IP routing protocols. 常见的路由协议 : -RIP -IGRP -EIGRP -OSPF
2.5 路由表条目 路由表包含以下条目 - 直连网络 - 静态路由 - 动态路由协议 路由表层次结构最初建立在有类路由方案基础上
1 级路由 1 级路由 是指子网掩码等于或小于网络地址有类掩码的路由 1 级路由可用作 默认路由 - 是指地址为 0.0.0.0/0 的静态路由 超网路由 - 是指掩码小于有类掩码的网络地址 网络路由 - 是指子网掩码等于有类掩码的路由
最终路由, 包括以下内容的路由 : 下一跳 IP 地址 ( 另一路径 ) 和 / 或送出接口
父路由和子路由 : 有类网络 另一种类型的 1 级网络路由 - 父路由 1 级父路由 2 级子路由
1 级父路由是指不包含任何网络的下一跳 IP 地址或送出接口的网络路由 只要向路由表中添加一个子网, 就会在表中自动创建 1 级父路由 2 级路由是指有类网络地址的子网路由 来源可以是直连网络 静态路由或动态路由协议
2 级子路由包含路由来源和路由的网络地址 2 级子路由也属于最终路由 因为 2 级路由包含下一跳 IP 地址和 / 或送出接口
1 级父路由 2 级子路由
由于两条子路由的子网掩码相同, 因此父路由仍旧保留 /24 掩码 必须至少有一条 2 级子路由,1 级父路由才能存在
父路由和子路由 : 无类网络 无论网络使用何种寻址方案 ( 有类还是无类 ), 路由表都会使用有类方案 1 级父路由 2 级子路由
3 路由表查找过程 35
3.1 路由查找过程各个步骤
3.2 最长匹配 :1 级网络路由 可称为最佳匹配也 是指路由表中与数据包的目的 IP 地址从最左侧开始存在最多匹配位数的路由
1 级最终路由 PC1 pings 192.168.1.2 路由器首先检查 1 级路由, 以查找最佳匹配 目的 IP 地址 192.168.1.2 与 1 级最终路由 192.168.1.0/24 匹配 R1 使用此路由并从 Serial 0/0/0 将数据包转发出去
匹配处理过程 数据包的目的 IP 地址与父路由的有类地址 ( 即 172.16.0.0/16) 必须匹配, 才能检查子路由是否与该目的 IP 地址匹配
首选路由是匹配位数最多的那一条 目的 IP 地址 192.168.1.0 与 1 级最终路由 192.168.1.0/24 匹配, 因此路由器会将该数据包从送出接口 Serial 0/0/0 转发出去
3.3 最长匹配 :1 级路由和 2 级路由 只有 1 级父路由的有类地址与数据包的目的 IP 地址匹配, 路由器才会检查 2 级子路由是否与该目的 IP 地址匹配
首先匹配的是 1 级父路由 由于父路由与数据包的目的地址匹配, 因此将会检查 2 级子路由
路由器是如何从 2 级子路由中找到匹配路由的 前 22 位匹配 前 24 位匹配
3.4 路由表原理 路由表的原则 -3 条法则 : 1. 每台路由器根据其自身路由表中的信息独立作出决策. 2. 一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息 3. 有关两个网络之间路径的路由信息并不能提供反向路径 ( 即返回路径 ) 的路由信息.
路由表原理 1:??? 2: 3:?
4 路径的确定和交换功能 47
4.1 数据包字段与数据帧字段 IP 数据包字段提供关于数据包发送和接受主机的信息要掌握以下几个部分 : - 目的 IP 地址 - 源 IP 地址 - 版本号和生存周期 -IP 包头长度 - 优先级和服务类型 - 数据包长度
MAC 子层帧格式 MAC 帧字段包括 : - 报头 - 起始定界符 - 目的 MAC 地址 - 源 MAC 地址 - 类型 / 长度 - 数据和填充体 - 帧校验序列
4.2 最佳路径和度量值 Metric 是一个数值, 用以确定到达目的地的最佳路径 Metrics 可以是一个简单的变量也可以是有多个变量符合而成 路由协议有两种 Metric : - 跳数 - 带宽 Metric( 度量 ) 越小路由越优先
4.3 等价负载均衡 等价 metric 是同样的目的地有多条等价路径 等价负载均衡解决这个问题. 路由器通过多个出口发送数据包
4.4 确定路径 包转发包括两个功能 : 找出最佳路径 送到外出接口 通过以下三个方法之一确定结果 : -Directly Connected Network 直接通过本路由器接口转发数据包到主机 -Remote Network 转发数据包到下一跳路由器 -No Route Determined 丢弃该数据包并报告差错
路由器的交换功能把数据包从一个接口转到另一个接口 - 当数据包到达路由器将做以下处理 : 剥离二层帧头. 根据目的 IP 地址选出最佳路由. 将数据包重新封装成帧. 将帧转发出去. 一个数据包从一台网络设备到另一台 - 源和目的 IP 地址在过程中不会改变 - 包在路由器之间传输其源和目的 2 层地址地址将随之变化 next.( 二层地址不一定总是 MAC 地址 ) -TTL 值每经过一跳减 1
route 命令用法 4.5 交换功能 Step1- PC1 将 IP 数据包封装成以太网帧, 并将其目的 MAC 地址设为 R1 FastEthernet 0/0 接口的 MAC 地址
Step2(1)- R1 发现帧的目的 mac 地址是自己的 mac 地址 Step2(2-3)- R1 剥离以太网帧后检测目的 IP 地址.
Step2(4)- R1 在路由表中寻找目的 IP 地址.
Step2(5)- R1 查询下一跳 IP 地址, 更新目的地址从新封装成帧
Step2(6)- R3 将以太网数据包从接口 Fa0/0 转发出去
Step3(1)- R2 发现帧的目的 mac 地址是自己的 mac 地址 Step3(2-3)- R2 剖离以太网帧头检测目的 ip 地址
Step3(4)- R2 在路由表中寻找目的 IP 地址
Step3(4)- R2 更新目的地址从新封装成帧
Step3(5)- R2 将以太网数据包从接口 S0/0 转发出去
Step4(1)- R3 接受 PPP 帧 Step4(2-3)- R3 剥离 PPP 帧检测目的 IP 地址
Step4(4)- R3 在路由表中寻找目的 IP 地址
Step4(5)- R3 的快速以太口直接连接到目的, 更新目的地址从新封装成帧.
Step5- IP 数据包到达 PC2. 帧被剥离后继续检测上层协议
5 静态路由协议 67
5.1 ip route 命令的语法和用途 ip route 用途 从一个网络路由到末节网络时, 一般使用静态路由
IP route 命令 配置静态路由 : ip route 例如 :
5.2 配置静态路由 在路由表中放置一条静态路由
配置两个以上远程网络的路由 在 R1 使用命令 -R1(config)#ip route 192.168.1.0 255.255.255.0 172.16.2.2 -R1(config)#ip route 192.168.2.0 255.255.255.0 172.16.2.2
5.3 路由表原理和静态路由 3 条原理 原理 1: 每台路由器根据其自身路由表中的信息独立做出决策 原理 2: 一台路由器的路由表中包含某些信息并不表示其它路由器也包含相同的信息 原理 3: 有关两个网络之间路径的路由信息并不能提供反向路径 ( 即返回路径 ) 的路由信息
参考 3 条原则你如何让解答下列问题? -PC1 所发出的数据包能否到达其目的? 可以, 数据包的目的网络地址是 172.16.1.0/24 和 192.168.1.0/24 这两个网络可以到达. - 这是否意味着这些网络的所有数据报要到达 172.16.3.0/24 都能实现? 否, 因为 R2 和 R3 都没有到达 172.16.3.0/24 网络的路由.
完成这些配置
5.4 递归路由查找 递归到出接口 - 递归路由查找 当路由器搜索了所有路由条目没有相关匹配, 就会通过静态路由把包转发到下一跳地址 (reclusive route lookup) 首先匹配下一跳地址与目的地址 下一跳地址匹配一个出接口
关闭出口
5.5 静态路由转出端口 配置静态路由转出端口 ( 本路由器接口 ) - 静态路由转出端口更易于路由器的路由处理. - 配置静态路由出端口必须在点对点的串口下.
修改静态路由 修改静态路由 存在的路由不能被修改. 可以用命令在原有的条目前加关键字删除 no 例如 : -no ip route 192.168.2.0 255.255.255.0 172.16.2.2 新的路由被写入
检验路由配置 Try it
静态路由以太网转出端口 需要进行 ARP 解析 下一跳表示为接口时可能会出现问题
5.6 默认静态路由 默认静态路由的子网掩码 子网掩码 0.0.0.0 代表匹配所有网络. R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0
验证
6 动态路由协议 84
6.1 前景和背景知识 动态路由协议的发展.
动态路由协议的作用. 动态路由协议的功能 : - 动态分享两个路由器之间的信息. - 当拓扑改变时自动更新. - 确定到达目的的最佳路径.
网络探索和路由表维护 动态路由协议的目的 : - 发现远程网络 - 维护最新路由信息 - 选择通往目的网络的最佳路径 - 当前路径无法使用时找出新的最佳路径
路由协议的内容? 数据结构 某些路由协议使用路由表和 / 或数据库来完成路由过程 此类信息保存在内存中 算法 算法是指用于完成某个任务的一定数量的步骤 路由协议使用算法来路由信息并确定最佳路径 路由协议通告 路由协议使用各种消息找出邻近的路由器, 交换路由信息, 并通过其它一些任务来获取和维护准确的网络信息
优势 相对于静态路由协议
6.2 动态路由协议的分类
IGP 和 EGP 分类 : -IGP( 内部网关协议 ) -EGP( 外部网关协议 ) 内部网关协议 (IGP) - 用于在自治系统内部路由. - 例如 : RIP, EIGRP, OSPF 外部网关协议 (EGP) - 用于在自治系统之间路由 - 例如 : BGPv4
距离矢量和链路状态 内部网关协议 (IGPs) 可以划分为两类 : 距离矢量路由协议 链路状态路由协议 距离矢量协议适用于以下情形 : 网络结构简单 扁平, 不需要特殊的分层设计 管理员没有足够的知识来配置链路状态协议和排查故障. 特定类型的网络拓扑结构, 如集中星形 (Hub-and-Spoke) 网络 无需关注网络最差情况下的收敛时间
距离矢量和链路状态 链路状态路由协议适用于以下情形 : 网络进行了分层设计, 大型网络通常如此 管理员对于网络中采用的链路状态路由协议非常熟悉 网络对收敛速度的要求极高
有类与无类 有类路由协议在路由信息更新过程中不发送子网掩码信息. 在无类路由协议的路由信息更新中, 同时包括网络地址和子网掩码.
收敛 当所有路由器都获取到完整而准确的网络信息时, 网络即完成收敛
6.3 度量 metric 度量 : 度量是指路由协议用来分配到达远程网络的路由开销的值
度量和路由协议 IP 路由协议中使用的度量如下 - 带宽 - 开销 - 延迟 - 跳数 - 负载 - 可靠性
路由表中的度量字段 各路由协议的度量如下 -RIP 跳数 -IGRP & EIGRP - 带宽 延迟 可靠性和负载 -IS-IS & OSPF 开销, Cisco 采用的 OSPF 使用的是带宽
负载均衡 数据分组会使用所有路由开销相同的路径转发出去.
6.4 管理距离的用途 (Administrative Distance AD) 度量的用途 用于确定到达目的的最佳路径 管理距离的用途 这个数值用于指定路由协议的优先级
对于路由表条目 括号中的第一个值即为 AD 值
动态路由协议 AD 对比
查看动态路由协议 Show ip protocols 可以看到该动态路由协议的管理距离
静态路由直连网络 直连网络 默认管理距离是 0 静态路由 默认管理距离是 1
7 ACL 106
7.1 使用 ACLs 保护网络 107
7.1.1 TCP 会话 ACL 使您能够控制进出网络的流量. ACLs 可以将 ACL 配置为根据使用的 TCP 和 UDP 端口来控制网络流量.
Port Numbers
7.1.2 数据包过滤 当数据包到达过滤数据包的路由器时, 路由器会从数据包报头中提取某些信息, 根据过滤规则决定该数据包是应该通过还是应该丢弃. ACL 可以从数据包报头中提取以下信息, 根据规则进行测试, 然后决定是 允许 还是 拒绝 : 源 IP 地址 目的 IP 地址 ICMP 消息类型 ACL 也可以提取上层信息并根据规则对其进行测试 上层信息包括 : TCP/UDP 源端口 TCP/UDP 目的端口
在本场景中, 数据包过滤器按如下方式检查每个数据包 : 如果来自网络 A 的 TCP SYN 数据包使用端口 80, 则允许其通过 但会拒绝用户的所有其它访问 如果来自网络 B 的 TCP SYN 数据包使用端口 80, 则阻止该数据包 但会允许用户的所有其它访问
什么是 ACL? ACL 是一种路由器配置脚本, 它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过. ACL 执行以下任务 : 限制网络流量以提高网络性能. 提供流量控制 ACL 可以限制路由更新的传输. 提供基本的网络访问安全性 ACL 可以允许一台主机访问部分网络, 同时阻止其它主机访问同一区域 决定在路由器接口上转发或阻止哪些类型的流量 控制客户端可以访问网络中的哪些区域 屏蔽主机以允许或拒绝对网络服务的访问 ACL 可以允许或拒绝用户访问特定文件类型, 例如 FTP 或 HTTP.
使用 ACL 的原则
7.2 ACL 工作原理 ACL 工作原理 ACL 要么配置用于入站流量, 要么用于出站流量. 入站 ACL 传入数据包经过处理之后才会被路由到出站接口 入站 ACL 非常高效, 如果数据包被丢弃, 则节省了执行路由查找的开销 当测试表明应允许该数据包后, 路由器才会处理路由工作. 出站 ACL 传入数据包路由到出站接口后, 由出站 ACL 进行处理.
ACL 及路由器上的路由和 ACL 过程 隐含的 拒绝所有流量 条件语句
7.3 ACLs 的类型 ( 以 cisco 为例 ) 有两类 Cisco ACLs, 标准的和扩展的. 标准 ACLs: 标准 ACL 根据源 IP 地址允许或拒绝流量. 扩展 ACLs: 扩展 ACL 根据多种属性.
标准 ACL 的工作原理 使用 ACL 时主要涉及以下两项任务 : Step 1. 通过指定访问列表编号或名称以及访问条件来创建访问列表. Step 2. 将 ACL 应用到接口或终端线路.
编号 ACL 和命名 ACLs 从 Cisco IOS 11.2 版开始, 您可以使用名称来标识 Cisco ACL. 编号 200 到 1299 已由其它协议使用. 例如,AppleTalk 使用编号 600 到 699, 而 IPX 使用编号 800 到 899.
ACLs 的放置位置 每个 ACL 都应该放置在最能发挥作用的位置 基本的规则是 : 将扩展 ACL 尽可能靠近要拒绝流量的源 这样, 才能在不需要的流量流经网络之前将其过滤掉. 因为标准 ACL 不会指定目的地址, 所以其位置应该尽可能靠近目的地.
创建 ACLs 的一般指导原则 ACL 的最佳做法
7.2 配置标准 ACLs 121
7.2.1 输入条件语句 值得注意 : 您应该将最频繁使用的 ACL 条目放在列表顶部. 您必须在 ACL 中至少包含一条 permit 语句, 否则所有流量都会被阻止. For example, 图中的两个 ACL( 101 和 102) 具有相同的效果.
7.2.2 配置标准 ACL 标准 ACL 命令的完整语法如下 : Router(config)#access-list access-list-number deny/permit remark source [source-wildcard] [log]
在图中, 路由器会检查进入 Fa0/0 的数据包的源地址 : access-list 2 deny 192.168.10.1 access-list 2 permit 192.168.10.0 0.0.0.255 access-list 2 deny 192.168.0.0 0.0.255.255 access-list 2 permit 192.0.0.0 0.255.255.255
7.2.3 ACL 通配符掩码 Wildcard 和 Subnet Mask 的关系 : 反掩码
any 和 host 关键字
7.2.4 将标准 ACLs 应用到接口 配置标准 ACL 之后, 可以使用 ip access-group 命令将其关联到接口 : Router(config-if)#ip access-group {access-list-number access-list-name} {in out}
Example1: 允许单个网络的 ACL 示例. Example2: 查看拒绝特定主机的 ACL 示例.
使用 ACL 控制 VTY 访问 : access-class 命令的语法是 : access-class access-list-number {in [vrf-also] out}
7.2.5 编辑编号 ACLs 您无法选择性地插入或删除语句行. 强烈推荐您在文本编辑器 ( 例如,Microsoft 记事本 ) 中创建 ACL.
对 ACL 添加注释 :
7.2.6 创见标准命名 ACLs 图中显示了创建标准命名 ACL 的步骤. Step 1. 进入全局配置模式, 使用 ip access-list 命令创建命名 ACL ACL 名称是字母数字, 必须唯一而且不能以数字开头. Step 2. 在命名 ACL 配置模式下, 使用 permit 或 deny 语句指定一个或多个条件, 以确定数据包应该转发还是丢弃. Step 3. 使用 end 命令返回特权执行模式.
从 Cisco IOS 软件第 12.3 版开始, 命名 IP ACL 允许您删除指定 ACL 中的具体条目. 您可以使用序列号将语句插入命名 ACL 中的任何位置
7.2.7 监控和检验 ACLs show access-lists
7.3 配置扩展 ACLs 135
7.3.1 扩展 ACLs 为了更加精确地控制流量过滤, 您可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL( 最多可使用 800 个扩展 ACL) 您也可以对扩展 ACL 命名.
测试端口和服务
7.3.2 配置扩展 ACLs 配置扩展 ACL 的操作步骤与配置标准 ACL 的步骤相同 首先创建扩展 ACL, 然后在接口上激活它.
扩展 ACL 举例 :
将扩展 ACL 应用于接口
7.3.3 创建命名扩展 ACLs 怎样建立命名扩展 ACLs: Step 1. 进入全局配置模式, 使用 ip access-list extendedname 命令创建命名 ACL. Step 2. 在命名 ACL 配置模式中, 指定您希望允许或拒绝的条件. Step 3. 返回特权执行模式, 并使用 show access-lists [number name] 命令检验 ACL. Step 4. ( 可选 ) 建议您使用 copy running-config startup-config 命令将条目保存在配置文件中.
结束语 1. 多网卡机器的路由设置 2. 校园网的路由协议选择 3. 网络攻击的防范