软考每年必考,主要掌握路由器的工作原理,常用的路由协议:RIP、OSPF、ISIS、BGP等。
考试中直接涉及分值约10分,主要掌握路由器的动态路由协议RIP和OSPF的配置等。
涉及到的主要知识点有:RIP工作原理,RIP配置,OSPF基本配置、IS-IS基本原理,NAT原理,NAT基本配置,策略路由配置等。
文章目录
路由器原理
相关知识点:路由器的基本功能,路由器的分类,路由器的组成。
路由器(Router)
路由器是连接网络中各类局域网和广域网的设备,它会根据信道的情况自动选择和设定路由,
以最佳路径按前后顺序发送信号的设备。路由器工作在OSI模型的网络层。
路由就是指通过相互连接的网络,把信息从源地点移动到目标地点的活动。
简单来说路由器就是根据收到的数据的目标IP地址信息查找路由表,
从路由表里面选择一条它认为是最佳的路径来发送数据。
路由器就是网络转发设备,它转发数据的依据就是数据包里的IP地址。
路由器的主要功能
路由器主要进行路由处理和包转发。
(1)路由处理。
通过运行路由协议来学习网络的拓扑结构,通过一定的规则建立和维系路由表,保持信息有效。
通过特定算法,依据路由表决定最佳路径。
前提是各个路由器必须运行相同路由协议,他们才能够互相传递网络中的信息和指导各个路由器能够选出到达最佳网络的路径。
(2)包转发。
2.1 接收数据包,检查、解释和处理IP版本号、头长度、头校验等数据包报头,对数据报文的长度和完整性进行验证。
2.2 依据目的IP地址检查下一跳(Next Hop)IP地址。修改TTL值,重新计算校验和。
2.3 新数据附加新数据链路层报头并转发。
路由器基础配置
路由表
路由表(Routing Table)供路由选择时使用,路由表为路由器进行数据转发提供信息和依据。
路由表可以分为静态路由表和动态路由表。
(1)静态路由表。
由系统管理员事先设置好固定的路由表,称为静态(Static)路由表,
一般是在系统安装时就根据网络的配置情况预先设定,不会随网络结构的改变而改变。
(2)动态路由表。
动态(Dynamic) 路由表是路由器根据网络系统的运行情况自动调整的路由表。
路由器根据路由选择协议(RoutingProtocol)提供的功能自动学习和记忆网络运行情况,
在需要时自动计算数据传输的最佳路径。
使用display ip routing table命令可以查看路由表信息,
考生要能读懂路由表,路由表的相关参数解释:
<HUAWEI> display ip routing-table
Route Flags: R - relay, D - download to filb
Destinations: 5 Routes: 6
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.1/32 Static 60 0 D 0.0.0.0 NULLO
Static 60 0 D 100.0.0.2 Vlanif100
100.0.0.0/24 Direct 0 0 D 100.0.0.1 Vlanif100
100.0.0.1/32 Direct 0 0 D 127.0.0.1 Vlanif100
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
| 参数名 | 解释 |
|---|---|
| Route Flags | R:表示该路由是迭代路由; D:表示该路由下发到FIB表 |
| Routing Tables: Public | 表示此路由表是公网路由表。如果是私网路由表,则显示私网的名称,如Routing Tables:GKYS |
| Destinations | 显示目的网络/主机的总数 |
| Routes | 显示路由的总数 |
| Destination/Mask | 显示目的网络/主机的地址和掩码长度 |
| Proto | 显示学习到这些路由所用的路由协议:Direct:表示直连路由; Static: 表示静态路由;EBGP:表示EBGP路由; IBGP:表示IBG路由;ISIS:表示IS-IS路由; OSPF:表示OSPF路由;RIP:表示RIP路由; UNR:表示用户网络路由(User Network Routes) |
| Pre | 显示此路由的优先级,华为路由协议的优先级定义与思科不一样,要特别注意: DIRECT=0; OSPF=10; STATIC=60;IGRP=80; RIP=100;OSPFASE=150; BGP= 170 |
| Cost | 显示此路由的路由开销值 |
| Flags | 显示路由标记,即路由表头的Route Flags |
| NextHop | 显示此路由的下一跳地址 |
| Interface | 显示此路由下一跳可达的出接口 |
路由器的基本配置
(1)配置路由器名称。
[Huawei]sysname R1 设置路由器名为R1
[R1] 修改后的配置模式提示符
(2)配置以太网口。.
配置接口命令形式为ip address ip_ _addr subnet_ mask/网络前缀位数。
[Huawei] interface ethernet 0/0/1 对指定接口进行配置
[Huawei-Ethernet0/0/1] ip address ip_address subnet_mask //配置IP地址和子网掩码或者直接使用前缀位数表示如[Huawei-
[Ethernet0/0/1] ip address ip_address X,其中的X表示前缀位数;
[Huawei-Ethernet0/0/1]undo shutdown
[Huawei-Ethernet0/0/1]quit //返回系统视图
(3)静态路由配置。
[Huawei]ip route-static ip-address subnet-mask gateway
指定到达目的网络的地址、子网掩码、下一条(网关)地址或路由器接口
(4)display命令。
[Huawei] display ip route-table //显示路由信息
[Huawei] display version //查看版本及引导信息
[Huawei] display current configuration //查看运行配置
[Huawei] display saved-config //查看开机配置
[Huawei] display interface type port/number //检查端口配置参数和统计数据
[Huawei] display history- command //查看历史输入的命令
RIP原理与配置
相关知识点:RIP路由概念、路由收敛、RIP配置
RIP基本概念
路由信息协议(Routing Information Procotol,RIP)
RIP是最早使用的距离矢量路由协议。
因为路由是以矢量(距离、方向)的方式被通告出去的,
这里的距离是根据度量来决定的,所以叫"距离矢量"。
距离矢量路由算法是动态路由算法。
RIP协议基于"UDP",端口号"520"。
RIPv1报文基于广播,RIPv2基于"组播"(组播地址"224.0.0.9")。
RIP路由的更新周期为"30"秒,如果路由器"180"秒内没有回应,则说明路由不可达;
如果"240"秒内没有回应,则删除路由表信息。
RIP协议的最大跳数为"15跳","16跳"表示不可达,直连网路跳数为0,每经过一个结点跳数增1。
RIP分为RIPv1、RIPv2和RIPng三个版本,
其中RIPv2相对RIPv1的改进点有:使用组播而不是广播来传播路由更新报文;
RIPv2属于无类协议,支持可变长子网掩码(Vlsm)和无类别域间路由(CIDR);
采用触发更新机制来加速路由收敛;支持认证,使用经过散列的口令字来限制更新信息的传播。
RIPng协议属于IPV6中的路由协议。
RIP工作流程
RIP工作流程:
每个路由器维护一张矢量表,
表中列出了当前已知的到每个目标的最佳距离以及所使用的线路。
通过在邻居之间相互交换信息,路由器不断更新其内部的表。
路由收敛
距离矢量协议容易形成路由循环、好消息传得快、坏信息传得慢等问题。
为解决以上问题可以采取以下措施:
(1)水平分割(Split Horizon)
路由器某个接口学习到的路由信息,不在反方向传回。
(2)路由中毒(Router Poisoning)
路由中毒又称为反向抑制的水平分割,
不会立即将不可大网络从路由表中删除该路由信息,而是将路由信息度量值置为无穷大(RIP中设置跳数为16),
该中毒路由被发给邻居路由器以通知这条路径失效。
(3)反向中毒(Poison Reverse)
路由器从一个接口学习到一个度量值为无穷大的路由信息,则应该向同一个接口返回一条路由不可达的信息。
(4)抑制定时器(Holddown Timer)
一条路由信息失效后,一段时间内都不接收其目的地址的路由更新。
路由器可以避免收到同一路由信息失效和有效的矛盾信息。
通过抑制定时器可以有效避免链路频繁启停,增加了网络有效性。
(5)触发更新(Trigger Update)
路由更新信息每30秒发送一次,
当路由表发生变化时,则应立即更新报文并广播到邻居路由器。
OSPF原理与配置
相关知识点有:基本概念、OSPF的5类报文、OSPF工作流程、BR与BDR选举、OSPF网络类型、OSPF配置。
软考网工中考到反掩码的就是ospf和acl
开放式最短路径优先(Open Shortest Path First,OSPF)
是一个内部网关协议(IGP),用于在单一自治系统(AS)内决策路由。
OSPF适合小型、中型、较大规模网络。
采用Dijkstra的最短路径优先算法(Shortest Path First,SPF)计算最小生成树,确定最短路径。
OSPF基于"IP",协议号为"89",采用组播方式交换OSPF包。
OSPF的组播地址为"224.0.0.5"(全部OSPF路由器)和"224.0.0.6"(指定路由器)。
OSPF使用"链路状态广播(Link State Advertisement,LSA)"传送给某区域内的所有路由器。
AS/IGP/EGP基本概念
(1)AS
自治系统(Autonomous System)
是指使用同一个内部路由协议的一组网络。
Internet可以被分割成许多不同的自治系统。也就是说Interner是由若干个自治系统汇集而成。
每个AS由一个长度为16位的编码标识,
由Internet地址授权机构(Internet Assigned Numbers Authority,IANA)负责分配管理。
AS编号为公有AS(编号1~64511)和私有AS(范围64512~65535),
公有AS编号需要向IANA申请。
像中国移动,中国电信这样的运营通信服务,就是组成全球互联网的一个部分,
也就是说他们就是组成全球Interner的一个小自治系统。
(2)IGP
内部网关协议(Interior Gateway Protocol,IGP)
在同一个自治系统内交换路由信息。
IGP的主要目的是发现和计算自治域内的路由信息。
IGP使用的路由协议有RIP、OSPF、IS-IS等。
(3)EGP
外部网关协议(Exterior Gateway Protocol,EGP)
是一种连接不同自治系统的相邻路由器之间交换路由信息的协议。
EGP使用的路由协议有BGP(目前是BGP-v4)
OSPF的5类报文
OSPF的5类报文
(1)Hello
Hello用于发现邻居,保证邻居之间keepalive,
能在NBMA网络上选举指定路由器(Designated Router, DR)、
备份指定路由器(Backup Designated Router, BDR)。
默认Hello报文的发送间隔时间是"10秒",默认无效时间间隔是Hello时间间隔的4倍,
即如果在"40秒"内没有从特定的邻居接收到这种分组,路由器就认为这个邻居不存在了。
Hello包应该包括:源路由器的RID、源路由器的Area ID、源路由器接口的掩码、
源路由接口的认证类型和认证信息、源路由器接口在Hello包发送的时间间隔、
源路由器接口的无效时间间隔、优先级、DR/BDR接口IP地址、
五个标记位、源路由器的所有邻居的RID。
Hello组播地址为"224.0.0.5"。
(2)数据库描述(DD或者DBD)消息。
用来交换每个LSA的摘要版本,一般出现在初始拓扑交换中,
这样路由器可以获悉邻居路由器的LSA列表并用于选择主从关系。
LSA描述了路由器的所有链路、接口、路由器的邻居及链路状态信息。
(3)链路状态请求(LSR)消息。
请求一个或多个LSA,告知邻居路由器提供LSA的详细信息给发送路由器。
(4)链路状态更新(LSU)消息。
包含LSA的详细信息,一般用来响应LSR消息。
(5)链路状态应答(LSAck)消息。
用来确认已收到LSU消息。
上述消息可以支持路由器发现邻居路由器(Hello),
学习其本身链路状态库(LSDB)中没有LSA(DD),请求并可靠交换LSA(LSR/LSU),
检测邻居路由器是否发生拓扑改变。
LSA每30分钟重传1次。
OSPF工作流程
OSPF工作流程
(1)启动OSPF进程的接口,发送Hello消息。
(2)交换Hello消息建立邻居关系。
(3)每台路由器对所有邻居发送LSA。
(4)路由器接收邻居发过来的LSA并保存在LSDB中,发送一个LSAcopy给其他邻居。
(5)LSA泛洪扩散到整个区域,区域内所有路由器都会形成相同的LSDB。
(6)当所有路由器的LSDB完全相同时,每台路由器将以自身为根,使用最短路径算法算出到达每个目的地的最短路径。
(7)每台路由器通过最短路径构建出自己的路由表,包含区域内路由(最优)、区域间路由、E1外部路由和E2外部路由。
DR与BDR选举
DR(Designated Router):指定路由器
BDR(Backup Designated Router):备份指定路由器
在DR和BDR出现之前,
每台路由器及其所有邻居成为全连接的OSPF邻节关系,关系数为"nx(n-1)/2"。
在多址网络中,路由器发出LSA从邻居的邻居发回来,
导致网络上产生"很多LSA的复制",也就是会"导致网络连接负载过大"。
所以基于这种考虑产生了DR和BDR。
网段中的"所有路由器都从DR和BDR交换信息,而不是彼此交换信息"。
DR和BDR将信息转交给其他所有路由器,
用DR和BDR方式的连接数为"2X(n-1)",此方式降低了"连接次数,提高了网络效率"。
OSPF选举Router-id的规则
OSPF选举Router-id的规则:
(1)手动配置的Router-id为首选。
(2)用所有loopback中"最大的IP"作为Router-id。
(3)用所有活动物理接口中"最大的IP"作为Router-id(用作Router-id的接口不一定非要运行OSPF协议)。
DR和BDR的选举过程
DR和BDR的选举过程:
(1)选举路由器必须进入"双向会话(Two-way)状态","优先级别必须大于0(优先级为0,则不参与选举)"。
(2)选举优先级最高的路由器为DR,次优的为BDR。
(3)如果优先级相同,则选举Router-id最大的路由器。
(4)如果DR/BDR已经存在,而又有新的OSPF路由器加入,即使该路由器优先级最高,也不剥夺现有DR/BDR的角色。
(5)如果DR失败,则BDR接管DR,并重新激活一个新BDR选举进程。
BGP
相关知识点有:对等体、BGP、BGP基本配置
BGP是边界网关协议,目前版本为BGP4,
是一种增强的距离矢量路由协议。
该协议运行在不同AS的路由器之间,用于选择AS之间花费最小的协议。
BGP协议基于"TCP"协议,端口为"179".
使用面向连接的TCP可以进行身份认证,可靠地交换路由信息。BGP4+支持IPv6。
BGP的特点:
(1)不用周期性发送路由信息。
(2)路由变化,发送增量路由(变化了的路由信息)。
(3)周期性发送Keepalive报文校验TCP的连通性。
对等体
在BGP中,两个路由器之间的连接称为对等体连接,两个路由器互为对等体。
如果路由器对等体在同一个AS中,就称为IBGP对等体;否则称为EBGP对等体。
BGP4网关对等实体发布可以到达的AS列表。
BGP常见四种报文
BGP常见四种报文
(1)OPEN报文:建立邻居关系。
(2)KEEPALIVE报文:保持活动状态,周期性确认邻居关系,对OPEN报文回应。
(3)UPDATE报文:发送新的路由信息。
(4)NOTIFICATION报文:报告检测到的错误。
BGP工作流程
(1)BGP路由器直接进行TCP三次握手,建立TCP会话连接。
(2)交换OPEN信息,确定版本等参数,建立邻居关系。
(3)路由器交换所有BGP路由直到平衡,之后只交换变化了的路由信息。
(4)路由更新有UPDATE完成。
(5)通过KEEPALIVE验证路由器是否可用。
(6)出现问题,发送NOTIFICATION消息通知错误。
链路状态和距离矢量路由协议对比
| 距离矢量路由协议 | 链路状态路由协议 | |
|---|---|---|
| 发布路由触发条件 | 周期性发布路由信息 | 当网络拓扑变化时,发布路由信息 |
| 发布路由信息的路由器 | 所有路由器 | 指定路由器(Designated Router,DR) |
| 发布方式 | 广播 | 组播 |
| 应答方式 | 不要求应答 | 要求应答 |
| 支持协议 | RIP、IGRP、BGP(增强距离矢量路由协议) | OSPF、IS-IS |
IS-IS原理
NAT原理与配置
相关知识点:静态NAT、动态NAT、网络地址端口转换。
NAT(Network address Translation,网络地址转换)
为延长IPV4地址而生,目前IP地址已经很稀缺了,
Nat能够利用极少数的公有IP地址,来满足大量的内网用户使用互联网的需求。
软考中只有两个地方会用到反掩码:OSPF和acl
1)OSPF的配置中network命令,它用的发布网段的时候用的就是反掩码。
2)ACL中使用的网段也是反掩码。
NAT的配置中一定会用到ACL
EasyIP配置NAT
华为路由器配置NAT的方式有很多种,考试中可能考到的基本配置方式主要有Easy IP和通过NAT地址池的方式。
下图是一个典型的通过Easy IP进行NAT的示意图,
其中Router出接口GE0/0/1的IP地址为200.100.1.2/24,
接口E0/0/1的IP地址为192. 168.0.1/24。
连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24。
内网用户通过Router的出接口GE0/0/1做Easy IP地址转换访问外网。
通过Easy IP方式访问的配置:
<HUAWEl> system-view //进入系统视图
[HUAWEI] sysname Router //修改设备名称
[Router] acl number 2000 //创建ACL2000
[Router-acl-bas 2000] rule 5 permit source 192.168.0.0 0.0.0.255 //配置允许进NAT转换的内网地址段192.168.0.0/24
[Router-acl-bas 2000] quit
[Router] interface Ethernet0/0/1
[Router-Ethernet0/0/1] undo port switch //关闭端口的交换特性,变为路由接口
[Router-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0 //配置内网网关地址
[Router-Ethernet0/0/1] quit
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet0/0/1] nat outbound 2000 //在出接口GE0/0/1上做Easy IP方式的NAT
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由,保证出接口到对端路由可达
"ip route-static ....这里经常考到,可能会有计算题出现"
软考中会有变形,不告诉你出口的对端ip,也就是不告诉你本题中的“Router出接口GE0/0/1的对端IP地址为200.100.1.1/24”
但他告诉你出口的ip和掩码,比如“200.100.1.2/30”,那就需要根据建网比特数30来就求相应的子网规模和网段,求出到对端的ip地址。也就求出出口的下一跳地址
配置NAT地址池转换
当内网用户较多,需要使用较多外部地址访问Internet时,可以考虑使用地址池的形式,如下图
Router配置:
<HUAWEI> system-view //进入系统视图
[HUAWEI] sysname Router //修改设备名称
[Router] acl number 2000 //创建ACL2000
[Router-acl-bas-2000] rule 5 permit source 192.168.0.0 0.0.0.255 //配置允许进行NAT转换的内网地址段192.168.0.0/24
[Router-acl-bas-2000] quit
[Router] nat address-group 1 200.100.1.100 200.100.1.200 //配置NAT地址池
[Router] interface vlan100 //配置内网网关的IP地址
[Router-vlan-interface100] ip address 192.168.0.1 255.255.255.0
[Router-vlan-interface100] quit
[Router] interface Ethernet2/0/0
[Router-Ethernet2/0/0] port link-type access //配置接口的类型为Access
[Router-Ethernet2/0/0] port default vlan 100 //配置接口的默认VLAN ID
[Router-Ethernet2/0/0] quit
[Router] interface GigabitEthernet3/0/0
[Router-GigabitEthernet3/0/0] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
[Router-GigabitEthernet3/0/0] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由
0.0.0.0 0.0.0.0 “默认静态路由 ”
内网用户通过路由器的NAT地址装换功能访问Internet,并且向外网用户提供WWW服务。
Router配置如下:
<HUAWEI> system-view //进入系统视图
[HUAWEI] sysname Router //修改设备名称
[Router] acl number 2000 //创建ACL 2000
[Router-acl-bas-2000] rule 5 permit source 192.168. 0.0 0.0.0.255 //配置允许进行NAT转换的内网地址段192.168.0.0/24
[Router-acl-bas-2000] quit
[Router] nat address-group 1 200.100.1.100 200.100.1.200 //配置NAT地址池
[Router] interface vlan100 //配置内网网关的IP地址
[Router-vlan-interface100] ip address 192.168.0.1 255.255.255.0
[Router-vlan-interface100] quit
[Router] interface Ethernet2/0/0
[Router-Ethernet2/0/0] port link-type access //配置接口的类型为Access
[Router-Ethernet2/0/0] port default vlan 100 //配置接口的默认VLAN ID
[Router-Ethernet2/0/0] quit
[Router] interface GigabitEthernet3/0/0
[Router-GigabitEthernet3/0/0] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
[Router-GigabitEthernet3/0/0] nat server protocol tcp global 200.100.1.103 www inside 192.168.0.2 8080 //在出接口上配置内网服务器192.168.0.2的WWW服务
[Router-GigabitEthernet3/0/0] quit
[Router] nat address-group 1 200.100.1.100 200.100.1.200 //配置NAT地址池
[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由 .
复杂配置情况
对于更为复杂的配置环境,可以通过"NAT和重定向"实现双出口,且对外提供Web服务。这在企业网络实际应用中是一种常用的方式,通常既需要内网用户上网,并且为了保证稳定和可靠,使用两个以上ISP线路提供Internet的接入,还要能对外提供某些服务,如Web、FTP服务等。
如图所示的环境中,
Router的GE1/0/0连接校园网,
GE2/0/0连接教育网,
GE3/0/0连接电信运营商接入Internet。
内网主机访问教育网通过GE2/0/0,访问其他网址通过默认路由GE3/0/0。
配置要求:
该校园网服务器提供内外网Web服务,
内网地址是192.168.1.2/24;外网地址是210.43.2.3。
现要求因特网主机和校园网内部主机都可以通过210.43.2.3正常访问Web服务器,
且要求校园网内部主机可以通过NAT访问Internet和教育网。
根据教育网的访问规则,非教育网主机访问教育网主机,必须通过教育网通道才能访问,
因此外网用户(包括教育网用户和非教育网用户)访问该校都是从GE2/0/0接入。
Router配置
[Router] acl number 2000 //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网
[Router-acl-bas-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[Router-acl-bas 2000] quit
[Router] acl number 3000 //内部主机直接访问服务器210.43.2.3,只有内网发起的服务才会在GE1/0/0上进行NAT
[Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 210.43.2.3 0
[Router-acl-adv-3000] quit
[Router] acl number 3001 //内部服务器返回内部主机的数据流不需要被重定向到教育网出口
[Router-acl-adv-3001] rule 5 permit ip source 192.168.1.2 0 destination 192.168.1.0 0.0.0.255
[Router-acl-adv-3001] quit
[Router] acl number 3002 //用于将内部服务器发往外部的数据流重定向到教育网出口
[Router-acl-adv-3002] rule 10 permit ip source 192.168.1.2 0
[Router-acl-adv-3002] quit
基于流式的ACL规则应用(配置题经常考)
流式ACL的配置方式:
第一步:设置流分类
第二步:设置流行为
第三步:设置流策略,流策略就是把流分类和流行为对应起来
第四步:将流策略应用到某个接口上
[Router] traffic classifier C_iner operator or //定义不需要重定向的数据流分类C_iner, 逻辑或的操作方式
[Router-classifier-C_iner] if-match acl 3001
[Router-classifier-C_iner] quit
[Router] traffic classifier C_outer operator or //定义需要重定向的数据流分类C_ outer
[Router-classifier-C_outer] if-match acl 3002
[Router-classifier-C_outer] quit
[Router] traffic behavior B_iner //定义流行为B_ iner
[Router-behavior-B_iner] quit
[Router] traffic behavior B_outer //定义流行为B_ outer
[Router-behavior-B_outer] redirect ip-nexthop 210.43.2.2 //服务器响应外网访问的数据流都被重定向到教育网出口
[Router-behavior-B_outer] quit
[Router] traffic policy P_redirect //绑定流策略
[Router-policy-P_redirect] classifier C_iner behavior B_iner //先匹配内部服务器返回内部主机的数据流,不需要重定向
[Router-policy-P_redirect] classifier C_outer behavior B_outer //后匹配重定向到教育网出口的数据流
[Router-policy-P_redirect] quit
[Router] nat alg dns enable //使能NAT ALG的DNS功能
[Router] nat address-group 0 61.187.55.100 61.187.55.120 //访问非教育网地址对应的NAT地址池
[Router] nat address-group 1 210.43.2.100 210.43.2.120 //访问教育网地址对应的NAT地址池
[Router] interface GigabitEthernet1/0/0
[Router-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0
[Router-GigabitEthernet1/0/0] traffic-policy P_redirect inbound //GE1/0/0对入方向的数据流执行流策略P_redirect
[Router-GigabitEthernet1/0/0] nat static global 210.43.2.3 inside 192.168.1.2 netmask 255.255.255.255
//内网用户直接使用210.43.2.3访问服务器时进行NAT
[Router-GigabitEthernet1/0/0] nat outbound 3000
//内网用户直接访问210.43.2.3时做Easy IP,将源地址改为GE1/0/0
的地址,保证内网服务器和主机间的通信量都经过Router转发
[Router-GigabitEthernet1/0/0]quit
[Router]interface GigabitEthernet2/0/0
[Router-GigabitEthernet2/0/0] ip address 210.43.2.1 255.255.255.0
[Router-GigabitEthernet2/0/0] nat static global 210.43.2.3 inside 192.168.1.2 netmask 255.255.255.255 //教育网出口的NAT
[Router-GigabitEthernet2/0/0] nat outbound 2000 address-group 1 //内网访问教育网时的NAT
[Router-GigabitEthernet2/0/0] quit
[Router] interface GigabitEthernet3/0/0
[Router-GigabitEthernet3/0/0] ip address 61.187.55.1 255.255.255.0
[Router-GigabitEthernet3/0/0] nat outbound 2000 address-group 0 //内网访问非教育网时的NAT
[Router-GigabitEthernet3/0/0] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 61.187.55.2 //设置默认路由
策略路由配置
按照事先设定好的路径去进行路由访问的规则。
比如说某些源地址来访问的时候一定让他按照设定好的路径去访问。
普通的路由是去选择一条最佳路径,这条最佳路径一定是一条最近的路径。
而策略路由不考虑什么是最佳路径这些问题,它考虑是的根据我们管理员设定的规则和策略去路由。
实际网络应用中,策略路由也是一种重要的技术手段。
尽管网络工程师的考试中并不重视策略路由(近两年有考到策略路由),但是实际上应用较多,
建议考生除了掌握基本的静态路由协议IP route-static,动态路由协议RIP、OSPF的基础配置外,还要掌握如何配置策略路由。
策略路由的基本原理:
根据"ACL定义"的不同数据流进过路由器时,
使用"基于源地址"或者"基于目标地址"策略转发数据到"下一个接口"。
基于源地址是什么意思:
比如说只要是来自于“192.168.1.0”这个网段的地址在经过我们设置的策略路由器时,规定它的下一跳就必须是右边的出口。
基于目标地址是什么意思:
比如高校里面经常用到的就是基于目标地址的策略路由,
高校要求访问教育网的地址范围段的时候,一定是通过教育网访问。
所以如果访问的目标地址是我们设定的一个教育网的地址范围,
我们就把它的下一跳设置为教育网的网关。
具体策略配置看下图案例
案例说明:
RouterA、RouterB和RouterC使用OSPF保证全网路由可达,
并且在RouterA上查看路由表可以发现10.0.0.0的下一跳为RouterC的GE1/0/0接口地址。
在RouterA上应用策略路由,使10.0.2.0/24到10.0.0.0/24的流量重定向到RouterB上。
RouterA 配置文件:
[RouterA] acl number 3001 //定义ACL匹配目 的源地址是10.0.2.0/24,目的地址是10.0.0.0/24
[RouterA-acl-adv-3001] rule 5 permit ip source 10.0.2.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
[RouterA-acl-adv-3001] quit
[RouterA] "traffic classifier credirect operator or" //定义需要重定向的数据流分类
[RouterA-classifier-credirect] if-match acl 3001
[RouterA-classifier-credirect] quit
[RouterA] "traffic behavior bredirect" //定义流行为重定向到RouterB的GE1/0/0的接口地址
[RouterA-behavior bredirect] "redirect ip-nexthop 10.181.10.2"
[RouterA-behavior-bredirect] quit
[RouterA] "traffic policy predirect" //绑定流策略
[RouterA-policy-predirect] "classifier credirect behavior bredirect"
[RouterA-policy predirect] quit
[RouterA] interface GigabitEthernet 1/0/0
[RouterA-GigabitEthernet 1/0/0] ip address 10.181.20.1 255.255.255.0
[RouterA-GigabitEthernet 1/0/0] quit
[RouterA] interface GigabitEthernet 2/0/0
[RouterA-GigabitEthernet 2/0/0] ip address 10.181.10.1 255.255.255.0
[RouterA-GigabitEthernet 2/0/0] quit
[RouterA] interface GigabitEthernet 3/0/0
[RouterA-GigabitEthernet3/0/0] ip address 10.0.2.1 255.255.255.0
[RouterA-GigabitEthernet3/0/0] "traffic-policy predirect inbound" //10.0.2.0/24到10.0.0.0/24的流量重定向到RouterB上
[RouterA-GigabitEthernet3/0/0] quit
[RouterA] ospf 1 //配置OSPF路由协议
[RouterA-ospf-1] area 0.0.0.0
[RouterA-ospf-1-area-0.0.0.0] network 10.0.2.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 10.181.20.0 0.0.0.255 .
[RouterA-ospf-1-area-0.0.0.0] network 10.181.10.0 0.0.0.255
[RouterA-ospf1] quit
RouterB 配置文件:
[RouterB] interface GigabitEthernet 1/0/0
[RouterB-GigabitEthernet 1/0/0] ip address 10.181.10.2 255.255.255.0
[RouterB-GigabitEthernet 1/0/0] quit
[RouterB] interface GigabitEthernet 2/0/0
[RouterB-GigabitEthernet 2/0/0] ip address 10.184.10.1 255.255.255.0
[RouterB-GigabitEthernet 2/0/0] quit
[RouterB] ospf 1 //配置OSPF路由协议
[RouterB-ospf-1] area 0.0.0.0
[RouterB-ospf-1-area-0.0.0.0] network 10.181.10.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 10.184.10.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
RouterC 配置文件:
[RouterC]interface GigabitEthernet 1/0/0
[RouterC-GigabitEthernet 1/0/0] ip address 10.181.20.2 255.255.255.0
[RouterC-GigabitEthernet 1/0/0] quit
[RouterC] interface GigabitEthernet 2/0/0
[RouterC-GigabitEthernet 2/0/0] ip address 10.184.10.2 255.255.255.0
[RouterC-GigabitEthernet 2/0/0] quit
[RouterC] Ospf 1 //配置OSPF路由协议
[RouterC-ospf-1] area 0.0.0.0
[RouterC-ospf-1-area-0.0.0.0] network 10.184.10.0 0.0.0.255
[RouterC-ospf-1-area-0.0.0.0] network 10.181.20.0 0.0.0.255
[RouterC-ospf-1-area-0.0.0.0] network 10.0.0.0 0.0.0.255
IPV6配置
相关知识点有: IPv6基本配置、VL AN配置、IPv6-over-IPv4 GRE隧道、ISATAP隧道。
IPv6基本配置
全球单播地址类似于IPv4公网地址,提供给网络服务提供商。
全球单播地址有以下两种方式配置:
(1)采用EUI-64格式形成。当配置采用EUI-64格式形成IPv6地址时,
接口的IPv6地址的前缀是所配置的前缀,而接口标识符则由接口自动生成。
(2)手工配置。用户手工配置IPv6全球单播地址。
基本的配置过程:在系统视图中先执行命令ipv6,使能IPv6报文转发功能。
因为在华为设备中,默认情况下,IPv6处于未使能状态。
然后再在接口视图下执行命令ipv6 enable,使能接口的IPv6功能。
配置接口的全球单播地址方式
1)执行命令ipv6 address {
ipv6 address prefix-length|ipv6-address/prefix-length }
//手工配置IPv6全球单播地址。
2)执行命令ipv6 address {
ipv6 address prefix-length|ipv6 address/prefix-length }eui-64
//采用EUI-64格式形成IPv6全球单播地址。
全球单播地址配置具体配置:
<Huawei> system-view
[Huawei] ipv6 //使能IPv6报文转 发功能
[Huawei] interface gigabitethernet 1/0/0
[Huawei-GigabitEthernet1/0/0] ipv6 enable //使能接口的IPv6功能
[Huawei-GigabitEthernet1/0/0] ipv6 address 3000::1/64 //配置接口IPv6地址
IPv6- over-IPv4隧道(6to4隧道)
IPv6-over-IPv4隧道是将IPv6报文封装在IPv4报文中发送,
封装后,报文穿越IPv4网络,目的IPv6路由器将封装数据包解封装。
IPv6-over-IPv4配置命令
[Huawei] interface tunnel 0/0/1
[Huawei-Tunnel0/0/1] tunnel-protocol ipv6-ipv4 //配置协议类型为IPv6-IPv4
[Huawei-Tunnel0/0/1] ipv6 enable //使能IPv6
[Huawei-Tunnel0/0/1] ipv6 address 300::1/64 // 根据实际拓扑设置接口的IPv6地址
[Huawei-Tunnel0/0/1] source gigabitethernet 1/0/0
[Huawei-Tunnel0/0/1] destination 192.168.1.2 //设置隧道对端的IP地址
[Huawei-Tunnel0/0/1] quit
ISATAP隧道
站内自动隧道寻址协议(Intra-Site Automatic TunnelAddressing Protocol, ISATAP)
是一种站点内部的IPv6网络将IPv4网络视为一个"非广播型多路访问(NBMA)"链路层的IPv6隧道技术,即将IPv4网络当作IPv6的虚拟链路层。
双栈主机使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。在ISATAP地址中,前64位是向ISATAP路由器发送请求得到的;
后64位由两部分构成,其中前32位是0:5efe,后32位是IPv4单播地址,即ISATAP接口ID必须为::0:5fe:IPv4地址的形式。具备该地址形式的双栈主机可以和
同一子网内的其他ISATAP主机进行IPv6通信。如果要跨网段,
ISATAP路由器还需要使用全球单播地址(xxx::/4或xx:/4) 。
(1)路由器端配置
需要在系统视图中先创建Tunnel接口。
再通过命令tunnel-protocol ipv6-ipv4 isatap,指定Tunnel为ISATAP模式。
再通过命令source {
source-ip-address | interface-type interface-number },指Tunnel的源地址或源接口。注意
使用命令undo ipv6 nd ra halt允许发布路由器通告消息。
具体配置命令:
[Huawei] interface tunnel 0/0/2 //进入隧道接口
[Huawei-Tunnel0/0/2] tunnel-protocol ipv6-ipv4 isatap //设置隧道协议
[Huawei-Tunnel0/0/2] ipv6 enable
[Huawei-Tunnel0/0/2] ipv6 address 2001::/64 eui-64 //设置接口IPv6地址
[Huawei-Tunnel0/0/2] source gigabitethernet 0/0/2
[Huawei-Tunnel0/0/2] undo ipv6 nd ra halt
[Huawei-Tunnel0/0/2] quit