天天看點
傳回

淺談cisco私有 EIGRP

前面在CCNA配置試驗裡曾經寫過EIGRP的基本配置。現在我們來稍微深入一點,學點有關EIGRP的進階一點的知識!

此次試驗的目的:

1.       複習EIGRP的基本配置;

2.       驗證EIGRP的自動彙總功能;

3.       驗證EIGRP支援不連續子網;

4.       使用EIGRP驗證,使路由環境更安全;

5.       EIGRP的手動彙總功能;

6.       使用抑制傳播的方法,減少網絡帶寬的使用率;

試驗拓撲介紹:R1的F1/0 的ip位址為172.16.1.1/24,  S0/0的ip位址為    192.168.1.1/24

                           R2的F1/0 的ip位址為192.168.3.1/24,  S0/0的ip位址為192.168.1.2/24, S0/1的ip位址為192.168.2.1/24

                           R3的F1/0 的ip位址為172.16.100.1/24,  S0/0的ip位址為 192.168.1.1/24

R1的F1/0端口ip和R3的F1/0端口ip這樣設定是為了驗證EIGRP協定支援不連續子網。

Ok,試驗開始:

一.首先在路由器間配置EIGRP協定。

二.驗證EIGRP的自動彙總功能;

在路由器間配置完EIGRP協定後,理應是全網全通的,可是如下所示:在R2上能ping通172.16.1.1卻ping不通172.16.100.1

r2#ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/40/76 ms

r2#ping 172.16.100.1

Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:

U.U.U

Success rate is 0 percent (0/5)e

這是怎麼回事呢?檢視一下路由表,仔細一看,R2的路由表中沒有172.16.100.0的資訊。原因是EIGRP協定預設開啟了自動彙總功能。172.16.1.1和172.16.100.1都彙總為172.16.0.0.路由器R2不知道該往那個方向傳送資料包。

r2#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

       E1 - OSPF external type 1, E2 - OSPF external type 2

       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

       ia - IS-IS inter area, * - candidate default, U - per-user static route

       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

D    172.16.0.0/16 [90/2172416] via 192.168.2.2, 00:01:55, Serial0/1

                   [90/2172416] via 192.168.1.1, 00:01:55, Serial0/0

C    192.168.1.0/24 is directly connected, Serial0/0

C    192.168.2.0/24 is directly connected, Serial0/1

C    192.168.3.0/24 is directly connected, FastEthernet1/0ercent (0/5)

<b>在所有路由器上關閉自動彙總功能,指令如下</b>

r1(config-router)#no auto-summary

r2(config-router)#no auto-summary

r3(config-router)#no auto-summary

<b> </b>

<b></b>

<b><b>自動彙總關閉後讓我們檢視一下路由表,這次</b><b>172.16.100.0</b><b>的資訊在路由表中顯示出來了。</b><b></b></b>

<b><b>r2#show ip route</b></b>

<b><b>Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP</b></b>

<b><b>       </b></b>

<b><b>       </b><b>N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2</b></b>

<b><b>       </b><b>E1 - OSPF external type 1, E2 - OSPF external type 2</b></b>

<b><b> </b></b>

<b><b>Gateway of last resort is not set</b></b>

<b><b>     </b></b>

<b><b>    </b></b>

<b><b>試着看能</b><b>ping</b><b>通</b><b>172.16.1.1</b><b>和</b><b>172.16.100.1</b><b>嗎?哈哈,成功通訊</b><b>……</b></b>

<b><b>r2#ping 172.16.1.1</b></b>

<b><b>Type escape sequence to abort.</b></b>

<b><b>Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:</b></b>

<b><b>!!!!!</b></b>

<b><b>Success rate is 100 percent (5/5), round-trip min/avg/max = 8/48/116 ms</b></b>

<b><b>r2#ping 172.16.100.1</b></b>

<b><b>Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:</b></b>

<b><b>Success rate is 100 percent (5/5), round-trip min/avg/max = 12/35/96 ms</b></b>

路由協定配置完成了,互相之間也能正常通訊了,是不是已經萬事大吉了呢?NO,如果有人在這個網絡内新加進一台AS号相同的路由器就能和網絡内的其他路由器互相交換資訊,進而竊取一些重要資訊,進而攻擊我們的網絡。

那我們能做些什麼呢?答案是:在路由器間配置EIGRP認證。

三 使用EIGRP認證,使路由環境更安全;

首先我們在路由器R1的S0/0、路由器R2的S0/0和S0/1端口上配置EIGRP認證。密碼都為cisco

注意,EIGRP認證要配置在路由器的出口上。而且所有的密碼必須相同!

R1

r1(config-keychain-key)#exit

r1(config-keychain)#exit

r1(config-if)#ip authentication key-chain eigrp 100 11

r1(config-if)#ip authentication mode eigrp 100 md5       使用MD5加密

R2

r2(config)#key chain 22

r2(config-keychain)#key 1

r2(config-keychain-key)#key-string cisco

r2(config-keychain-key)#exi

r2(config-keychain)#exi

r2(config)#int s0/0

r2(config-if)#ip authentication key-chain eigrp 100 22

r2(config-if)#ip authentication mode eigrp 100 md5

r2(config)#key chain 33

r2(config-keychain-key)#exit

r2(config-keychain)#exit

r2(config)#int s0/1

r2(config-if)#ip authentication key-chain eigrp 100 33

完成EIGRP認證的配置後,檢視路由器的路由表。

R1和R2的路由表中沒有了172.16.100.0網段的資訊。R3的路由表中也沒有了R1和R2的資訊。

r1#show ip route

     172.16.0.0/24 is subnetted, 1 subnets

C       172.16.1.0 is directly connected, FastEthernet1/0

D    192.168.2.0/24 [90/2681856] via 192.168.1.2, 00:02:33, Serial0/0

D    192.168.3.0/24 [90/2172416] via 192.168.1.2, 00:02:33, Serial0/0

D       172.16.1.0 [90/2172416] via 192.168.1.1, 00:07:42, Serial0/0

C    192.168.3.0/24 is directly connected, FastEthernet1/0

R3

r3#show ip route

C       172.16.100.0 is directly connected, FastEthernet1/0

這表明我們的試驗已經快要成功了。因為我們隻在R1和R2上配置了EIGRP認證。如果别的路由器想加入通信,必須也配置EIGRP認證,而且密碼必須相同。

好了,我們讓R3加入通信吧!在R3的出口配置EIGRP認證。方法如上。在次不再複述。

配置完EIGRP認證後,檢視路由表。如下所示,在R3的路由表中出現了R1和R2的資訊。

       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

     172.16.0.0/24 is subnetted, 2 subnets

D       172.16.1.0 [90/2684416] via 192.168.2.1, 00:00:15, Serial0/1

D    192.168.1.0/24 [90/2681856] via 192.168.2.1, 00:00:15, Serial0/1

D    192.168.3.0/24 [90/2172416] via 192.168.2.1, 00:00:15, Serial0/1

怎麼樣這個方法很實用很安全吧!

四.EIGRP的手動彙總功能:

EIGRP還支援手動彙總,彙總指令如下:(同樣是在出口上配置)

(config-if)#ip summary-address eigrp  AS号   彙總後的ip   彙總後的網絡掩碼

使用手動彙總可以自己配置彙總位址,這樣一來,我們就能很輕松的記住彙總前的位址。很友善吧!

五.使用抑制傳播的方法,減少網絡帶寬的使用率;

怎樣能減少網絡帶寬使用率,提高使用效率呢?

抑制傳播。路由器的内部一般接交換機、PC機,交換機和PC機沒有必要接收接收路由宣告。是以我們抑制路由宣告向内網傳播就能減少網絡帶寬的使用率!

具體配置如下:(在路由器的内網接口上配置)

(config-router)#passive-interface f1/0

怎麼樣,這樣一來有沒有對EIGRP有更深入的了解呢!

本文轉自 範琳琳 51CTO部落格,原文連結:http://blog.51cto.com/fanlinlin/141742,如需轉載請自行聯系原作者

EIGRP協定 ccna eigrp協定 eigrp關系 eigrp檢視 EIGRP彙總
上一篇: 為linux伺服器安裝rkhunter工具
下一篇: 循序漸進 OSPF的詳細剖析(一)

繼續閱讀