1. 路由器轉發資料包過程
1.拆除資料包二層幀頭,檢視三層報頭中的目的IP位址。
2.将目的IP位址和本地路由條目進行與運算,得出結果。
3.如果一緻則按相應的接口轉發,否則丢棄。
2. 路有條目六要素
字首,掩碼,管理距離,開銷,下一跳,出包接口。
3. 路有條目加表原則
1.當字首掩碼一緻時,先比較管理距離,小為優;其次開銷,小為優;當一樣時,同時加表(負載均衡)。
2.當字首掩碼不一緻時,比較長度,掩碼越長越優先(最長比對原則)。
4. 路由分類
内部網關協定IGP:RIP、EIGRP、OSPF、IS-IS
外部網關協定EGP:BGP
距離矢量路由協定DV:RIP、EIGRP
鍊路狀态路由協定LS:OSPF、IS-IS
差別:鍊路狀态的路由更新包沒有路有條目,距離矢量路由協定的路由更新包有路有條目。
5. RIP
1.1 基本概念
适用于小型網絡,最大跳數15跳(網狀連接配接的路由器可以超過15個)
基于UDP,端口号520
管理距離AD:120
OSI層次:七層協定
多點傳播位址:224.0.0.9
RIPv1:廣播更新
RIPv2:多點傳播更新
1.2 路由表同步
周期性的(平均每30s)将完整的路由表以廣播/多點傳播的形式從啟用了RIP的接口發送出去,RIP更新包是封裝在UDP的segment的520端口來進行操作的。
周期性泛洪整張路由表
依照傳聞的更新
逐條更新
1.3 時間機制
Update:30s一次定期更新;180s沒收到路由更新,标記為possible down;再等待60s,還沒收到路由更新;180+60=240s逾時删除路由flush
1.4 防環機制
1-記數最大值(maximum hop count):定義最大跳數(最大為15跳),當跳數為16跳時,目标為不可達。
2-水準分割(split horizon):從一個接口學習到的路由不會再廣播回該接口。cisco可以對每個接口關閉水準分割功能。
3-路由毒化(route posion):當拓撲變化時,路由器會将失效的路由标記為possibly down狀态,并配置設定一個不可達的路徑成本。
4-毒性逆轉(poison reverse):從一個接口學習的路由會發送回該接口,但是已經被毒化,跳數設定為16跳,不可達。
5-觸發更新(trigger update):一旦檢測到路由崩潰,立即廣播路由重新整理封包,而不等到下一重新整理周期。
6-抑制計時器(holddown timer):防止路由表頻繁翻動,增加了網絡的穩定性。
注:毒性逆轉的作用:
利用毒性逆轉,可以清除對方路由表中的無用路由。
實作情況:
配置毒性逆轉後,R2在接收到從R1發來的路由10.0.0.0/8後,向R1發送一個這條路由不可達的消息(将該路由的開銷設定為16),這樣R1就不會再利用從R2學到的路由10.0.0.0/8,是以就可以避免路由環路的産生。
現實情況:
預設情況下不使能毒性逆轉。一般情況下,在華為裝置中均使能水準分割(除NBMA網絡外)而禁用毒性逆轉。
https://blog.csdn.net/lainclak/article/details/77267805
1.5 路由彙總
RIP不支援CIDR(跨網段),RIPv1不支援VLSM,RIPv2支援VLSM。
ip summary-address rip 172.16.0.0 255.255.0.0 在路由流向的出接口做。
1.6 路由認證
明文和MD5認證
1.7 預設路由
Redistribute Static
Network 0.0.0.0
default-information originate
default-network
1.8 被動接口及單點傳播更新
a) 被動接口:隻接受路由條目,但不發送路由條目。
b) 可與在交換機和非RIP路由器上配置,節省資源。
c) Passive-interface 0/0
d) 配置單點傳播更新後不再發送多點傳播更新。Neighbor 1.1.1.1使R1學習到其他路由器的條目
1.9 偏移清單
更改路徑成本cos,隻能用于DV協定
Offset-list,先用acl抓取路由條目,再比對調用。
1.10 RIP版本相容實驗
V1版本:隻發送V1更新,接收v1和v2更新(預設),如果打了version 1,就變成隻發送和接受v1。V2版本:隻發送及接收V2更新。
版本相容:R1(config-if)#ip rip send version 1 2
R1(config-if)#ip rip receive version 1 2
1.11 更新源檢測
a) 接口的secondary接口可以作為更新源位址,但是所在網段不會被宣告出去。
b) validate-update-source開啟更新源檢測(預設已經開啟)
c) 當關閉了更新源有效性檢測後,所有接收到的路由更新即使位址不合法,也都被放入路由表。
d) 源IP和接口的IP位址進行與運算,處在相同的網段,就更新。
1.12 觸發更新
1) 僅僅在路由有變化時,将有變化的路由發出去。
2) RIP 觸發更新隻支援在點到點鍊路上開啟或關閉。Frame-Relay點到點子接口被RIP認為是點到點鍊路,可以開啟觸發更新。
3) RIP 觸發的更新機制需要在兩端路由器都開啟,否則不生效。ip rip triggered。
4) 在雙方都開啟後,互相收到的路由都會被注明永久有效(permanent)而不需要再次收到更新。
1.13 區域類型
-
STUB:
A. 隻能有ABR不能有ASBR
B. 不能建立虛鍊路穿過他們
C. Area 0不能為STUB
D. STUB區域内的所有路由器必須配置為STUB
E. STUB區域中有多台ABR,有可能會使用次優路徑
F. 在ABR上,area 0 default-cost 36防止次優路由
-
NSSA
a) 允許有ASBR存在
b) NSSA區域内,不能有5類LSA路由
c) 為RFC的增補出現的
d) NSSA區域内,ASBR上傳遞7類,ABR傳遞5類
e) 若外部路由協定為OSPF,該OSPF路由無法穿越NSSA區域到達其他内部區域。
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiI9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCM581dvRWYoNHLwEzX5xCMx8FesU2cfdGLwATMfRHLGZkRGZkRfJ3bs92YskmNhVTYykVNQJVMRhXVEF1X0hXZ0xiNx8VZ6l2cssmch1mclRXY39CXldWYtlWPzNXZj9mcw1ycz9WL49zZuBnL1gTMlhjY2YGN2QGMldjM0ATO2Q2NxYWM1UWNzETYhBzLcNjMvwVOwgTMwIzLcd2bsJ2LcNXZnFWbp9CXt92Yu8GdjFTNuITavw1LcpDc0RHaiojIsJye.png)
1.14 特殊區域(在ABR上進行配置)
不規則區域:單點雙向重分發,tunnel,virtual-link(在ABR上進行配置)
1.15 認證:明文和MD5
鍊路間:
A. ip ospf authentication-key cisco
ip ospf authentication明文
B. ip ospf message-digest-key 12 md5 cisco /key-id兩端必須一緻
ip ospf authentication message-digest密文
區域間(區域認證需在該區域所有路由器配置認證,不同鍊路間可使用不同密碼。):
A. ip ospf authentication-key CCIE
area 2 authentication
B. ip ospf message-digest-key 12 md5 CCIE
R2(config-router)#area 2 authentication message-digest
6. EIGRP
無類路由協定,支援VLSM及CIDR
快速收斂,後繼和可行後繼
支援多點傳播和單點傳播的形式發送協定資料
支援等價及等價負載均衡。預設4條,最大可達16條
OSI層次:4層或3層
管理距離AD:90
沒有用TCP或UDP封裝,而是用自己開發的協定叫RTP
協定号:88号
增量/觸發更新(hello包可以間接的檢測路由更新)
一個AS内部最多可以連接配接255個路由器
支援自動及手工路由彙總
多點傳播位址:224.0.0.10
1.2 路由同步
鄰居表,拓撲表,路由表
1.3 後繼,可行後繼(備份),AD,FD
AD通告距離:鄰居到達目标網絡的路徑成本
FD可行距離:鄰居到達目标網絡的路徑成本加上本路由器達到該鄰居的路徑成本
FC可行性條件:AD<FD
1.4 DUAL算法
本地計算:在本地查找一條備份路由FC,本地最優路由失效,啟用備份路由。
擴散更新計算:發查詢和應答包查找最優路徑。
抑制總部路由器發送查詢到分支站點:路由彙總;STUB
1.5 預設路由(邊界路由器上進行配置)
重分發:預設路由指向下一跳,在路由中重分發靜态。
宣告預設路由:預設路由指向出包接口,在路由中全零宣告網段。
Network主類網絡:IP DEFAULT-NETWORK+主類位址段。
( ip default-network 14.0.0.0
ip route 14.0.0.0 255.0.0.0 FastEthernet0/0
network 14.0.0.0)
聚合路由:在内網接口由路由聚合實作預設路由下放。
1.6 路由彙總
a) 手工彙總:本地,非本地,外部(重分發直連)
b) 自動彙總
1.7 路由洩露
• leak-map:該工具用來放行手工彙總路由條目内的某些明細路由條目
• route-map:在該例中用來調用ACL抓取控制層面需要被放行的明細路由條目(一個router-map擁有一個隐藏的空語句,沒有MATCH,相當于match any,沒有set,相當于set nothing,并且該語句的執行政策是deny)
• ACL:直接用來抓取路由條目
1.8 負載均衡
實作非等價負載均衡條件:
次優路由的AD必須小于最優路由的FD
次優路由的FD必須小于最優路由的FD乘于V值
1.9 STUB區域(節省路由學習帶寬資源)
鄰居不會發送查詢封包到本地,但本地仍可以發送查詢。
Received-only,static,connected,redistributed,summary,leak-map
1.10 SIA-卡在活動狀态
發送查詢,一直發7個,仍未回應再等待180s仍無結果,則視為鄰居不可達,将鄰居重置。
7.OSPF
采用SPF算法,計算到達目的地的最短路徑
支援VLSM、CIDR,支援手工路由彙總
協定号:89
OSI層次:3層或4層
無類
管理距離AD:110
路徑成本:接口cost=100M/接口帶寬(cos值會累加)
增量更新/觸發更新/周期更新(30分鐘一次)
1.2 特殊概念
RID:1.手工配置2.自動擷取:最大loopback接口IP位址,若無則實體接口的最大IP位址
Hello包每10s發送一次,超過40s,鄰居die
1.3 鄰居關系建立過程
七個狀态:down、init、two-way、Ex-start、Ex-change、loading,full
七個建立:hello、hello、DD、DD、LSR、LSU、LSack
1.4 DR、BDR(在鄰居建立過程中選舉)為減少泛洪
選舉規則:優先級高的稱為DR(預設為1);如果優先級相等,具有最高的RID的路由器成為DR。DR具有非搶占性。(優先級0-255)
1.5 MA網絡
在MA網絡中每台OSPF路由器需要與其他的所有路由器建立OSPF鄰居關系,導緻過多的鄰接關系,造成帶寬資源的浪費和損耗。
(以太網是典型的廣播型多路通路網絡BMA)
MA網絡中的路由器隻與DR、BDR建立ospf鄰接關系,DRother之間隻是建立two-way狀态。
1.6 LSA的泛洪
非DR、BDR的拓撲發生變更,向多點傳播224.0.0.6發送LSU,DR、BDR監聽224.0.0.6這一多點傳播位址;DR向多點傳播224.0.0.5發送更新,其它路由器監聽224.0.0.5這一多點傳播位址。路由器收到變化的LSU後,更新自己的LSDB,對更新的進行SPF算法。
預設老化時間:3600s
1.7 網絡類型
廣播型多路通路BMA、點到點P2P、點到多點P2MP、非廣播多路通路NBMA。
1.8 路由彙總
域内路由:在ABR上進行彙總,進入路由協定,area 0 range 100.1.1.0 255.255.255.0
域外路由:在ASBR上進行彙總,進入路由協定,summary-addess 192.168.8.0 255.255.252.0
路由過濾-字首清單(在ABR上做)
• ip prefix-list abc seq 10 deny 202.10.8.0/23 ge 24 le 24
• ip prefix-list abc seq 20 permit 0.0.0.0/0 le 32
R1(config-router)#area 0 filter-list prefix abc out
ip ospf network point-to-point:還原環回口掩碼
8. 靜态路由
1.1 靜态路由配置
關聯下一跳:建議使用在MA網絡。如果僅關聯出包接口,不指定下一跳,會根據目的位址發送大量的ARP請求,占用帶寬。
關聯出包接口:建議使用在P2P網絡,如果僅關聯下一跳,不指定出包接口,路由器不知道從哪個接口發送資料,那麼将進行一次路由表查詢,俗稱遞歸表查詢。
建議:出包接口和下一跳都配置。
1.2 免費/無故ARP:
1.檢測IP位址沖突2.更新MAC和IP的綁定。
1.3 代理ARP:
ARP應答收錄順序誰後到收誰的。
9. IS-IS中間系統到中間系統
1.1 基本概述
i. 三層協定:CONS有連接配接服務,CLNS無連接配接服務:CLNP(ip協定),IS-IS,ES-IS
ii. DIS-DR,LSP-LSA,PDU-IP封包,NSAP-IP位址,PSNP-ACK和LSR,CSNP-DD,IIH-HELLO,SYSID-RID
iii. 思科路由器預設路徑成本為10
iv. 0級路由,負責終端系統到中間系統的路由
1級路由,負責一個區域内的中間系統到中間系統的路由
2級路由,負責多個區域之間的中間系統到中間系統的路由
3級路由,負責多個AS之間的路由,類似TCP/IP中的BGP協定,OSI中使用IDRP(inter domin routing protcol)域間路由協定,約等于BGP
v. 路由器區分邊界IS-IS,接口區分邊界OSPF。
vi. ISIS協定使用NSAP位址辨別裝置,接口位址使用SNPA
vii. NSAP總長最多是20個位元組,最少8個位元組,私有49
viii. 逾時時間20分鐘,15分鐘泛洪一次,OSPF逾時時間是60分鐘,泛洪時間是30分鐘一次。
ix. 在LAN中需要選舉DIS,用于減少鄰接關系數量及LSP泛洪。
x. 預設IIH包自動填充到MTU大小。
1.2 網絡類型
廣播,點到點,沒有NBMA。
LSP在點到點網絡以單點傳播的方式傳播,LSP在LAN以多點傳播的方式傳播。
1.3 DIS選舉規則
• 完成鄰接關系後選舉.
• 比較端口優先級,越高越優,取值0-127,預設64.
• 比較 SNPA (MAC) 位址,越大越優.
• 沒有選出DIS的時候,路由表是整張LSDB進行學習(像eigrp)
• DIS沒有備份.不能被搶占。(和OSPF一樣)
1.4 OSI IS-IS Routing Logic
Level 1 router: 收到去往目的網段封包,優先比較封包區域ID與本地區域ID是否一緻:
• 如果不同, 直接發送給離我最近的 Level 1-2 路由器.
• 如果相等, 使用 Level 1 的LSDB基于區域ID轉發封包,.
Level 1-2 router: 收到去往目的網段封包,優先比較封包區域ID與本地區域ID是否一緻.
• 如果不同, 使用 Level 2的 基于區域ID的database 轉發封包
• 如果相等, 使用 Level 1 的LSDB基于區域ID轉發封包.
10. BGP
應用層7,TCP封裝,端口号179
無類路由協定
手動建立鄰居關系
不同的AS通過AS号來區分,取值範圍:1-65535,私有:64512-65535.
可靠更新,使用TCP179端口号,使用單點傳播;觸發更新,增量更新。
周期發送keepalive封包,使用OPEN(60秒發送一次)封包建立鄰居關系。Hold time 180秒。
在同一個區域内,AS的下一跳的IP位址不會變,不同AS,下一跳才會變。
eigrp和ospf的hello包是沒有确認的。
隻支援MD5的認證,認證值放在TCP的19号中。
1.2 BGP同步規則
BGP路由器不應使用通過IBGP獲悉的路由或将其通告給外部鄰居,除非該路由是本地的或通過IGP獲悉的。
1.3 解決路由黑洞
• 解決BGP資料層面路由黑洞的方式
1、在AS内使用實體鍊路全互連
2、在AS内對IBGP對等體鄰接關系的全互連
3、将AS内部的邊緣路由上的BGP路由重分發進IGP中
4、在AS内部的邊緣路由器之間建立TUNNEL
5、在AS内所有路由器使用MPLS(較推薦)
1.4 防環
EBGP的水準分割:AS之間的防環,路由器不收帶有自己AS号的路由更新。(控制層面)
IBGP的水準分割:從IBGP收到的路由不會通過給另一個IBGP。(控制層面)
RR的防環:RR打破了IBGP隻傳一跳的規則,是以需要通過cluster-id防環
1.5 ICMP重定向
1、在本地建立指向NULL0接口的聚合路由,并在該路由器的BGP程序中使用network語句通告該聚合路由,不需要通告任何明細路由。
2、aggregate-address X.X.X.X X.X.X.X彙總
• summary-only抑制明細路由
• suppress-map抑制清單,調用router-map過濾不通告的路由
aggregate-address 192.168.8.0 255.255.252.0 suppress-map abc//過濾8.9網段
route-map abc permit 10
match ip address 10
1.7 BGP選路原則(用字首清單和通路清單抓取路由,route-map調用)
i. 權重屬性weight
本地有效,發送路由不攜帶。
下一跳位址為0.0.0.0,預設值為32768.鄰居通告的無論IBGP或EBGP都為0,本地通告來源于IGP的路由也為0。
屬性值越大越優先。
該屬性思科私有。
ii. 本地優先級local preference(當有多台路由出口器的時候,邊界路由器通過修改本地優先級告知内部路由通路外部優先從哪個路由器出去)
同一個AS有效(隻在傳遞IBGP有效)
預設值為100
屬性值越大越優先
iii. 優先本地路由-下一跳全0
如上圖,R5通告了5網段路由,R6擁有靜态5網段且在BGP中通告該路由,那麼R6的BGP表中會優選R6,因為下一跳全0,且無法更改。
一般情況不會出現此類現象,若發現有此現象應考慮是否出現路由環路
iv. AS path
全網傳遞,在AS之間可配置增加長度
比較長度,越長越差,越短越好
出方向修改AS長度,下遊鄰居收到後增加的AS号在右。入方向則相反。
Neighbor 24.1.1.2 allowas-in該指令為不管收到的路由有沒有包含本地AS都收入
Bgp maxas-limit 10接收的路由包含最大AS長度為10
Bgp bestpath as-path ignore不比較AS的長度
建議增加本地的AS号
v. 起源屬性origin
公認強制屬性,全網傳遞
IGP優于EGP優于incomplete(?)
vi. MED多出口鑒别器(本地影響遠端來進行選路)
在鄰居AS之間傳遞(EBGP鄰居之間)
IETF公認值預設最大,思科預設為0
越小越好
給EBGP鄰居傳遞路由的時候,通過設定MED值來告知鄰居發包到本AS的時候使用哪條路徑進入(與本地優先級相反)
經過EBGP路由器之後MED值恢複預設值,僅存在EBGP鄰居之間
思科裝置預設metric就是MED
路由器通過同一個AS的多個EBGP鄰居傳遞的同一路由攜帶MED會比小,如果是通過不同AS的多個鄰居收到同一網段的路由不會比較。
bgp always-compare-med此指令強制比較不同AS傳遞過來的相同路由的MED值
1.8 打破BGP路由傳遞規則
-
路由反射器RR(反射器群)
RR收到了一條EBGP路由,會将其轉發給所有其他EBGP對等體以及所有IBGP對等體(包含client以及non-client)
RR收到了一條IBGP路由(client發的),RR會将其轉發給所有其他的RRC以及所有IBGP的non-client以及所有的EBGP對等體
RR收到了一條IBGP路由(non-client發的),RR會将其轉發給所有client以及所有EBGP對等體,但不會傳遞給non-client
-
聯邦confederation
子聯邦與子聯邦之間的關系是僞EBGP對等體關系
所有聯邦路由器啟用BGP程序的AS号都是子AS号,聯邦建鄰居指的是對方的子AS号,外部路由指聯邦内BGP鄰居指的是主AS号
所有聯邦内路由器都要宣稱自己屬于主AS
聯邦内路由器要建立聯邦内EBGP連接配接時需要指定本地和什麼子AS鄰接
1.9 Community團體屬性
公認自由屬性
不可傳遞,僅鄰居之間,思科預設不攜帶
标準
No-advertise收到帶有該屬性的路由,不傳遞給其他BGP對等體。
No-export不傳遞給其他AS,内部有聯邦也可以傳遞。
Local-as路由隻在接收者所在AS傳遞,聯邦也不傳遞。
11. 分發清單 redistribute-list
在DV協定中,分發清單可以良好工作,出站和入站方向皆可做。
在LS協定中,分發清單不能出站調用,因為傳遞的不是路由條目,是LSA,分發清單無法基于ACL或任何其他工具抓取LSA,但是在該環境中可以使用入站方向調用,實作的是路由資訊的本地抑制,而不會限制LSA的傳遞,是以隻對本地路由器有效(OSPF發出的LSA通過SPF算法計算後變成路由條目,就可以進行抑制了。spf和加表之間還有個分發清單的查詢)
重分發調用分發清單可在控制層面在重分發進該協定前比對
R1(config-router)#distribute-list 11 out ospf 100
将OSPF協定重分發進該路由協定前比對分發清單,可比對的被通過。因ACL為DENY,是以R2無法收到14條目
分發清單隻有OUT方向可跟協定
12. IPV6
一、 基礎概念
128bits
單點傳播,多點傳播,任意播
全球可聚合單點傳播位址AGUA位址
• 前48位為字首,16位為子網位,後64位為接口ID,即IPV4主機位
• 廣播域内所有節點位址前64位必須相同
2002::/16 6to4 address
Link-local位址
類似MAC位址,無AGUA位址時,可使用本地鍊路位址通信
接口配置IPV6位址會生成有且隻有一個的LINK-LOCAL位址
Ipv6 enable
Site-local位址(微軟定義)
思科及微軟定義為相當于IPV4私有位址。
::/0預設位址
::/128為指定位址
Loopback address ::1/128 same as 127.0.0.1 in ipv4
一個節點想要運作IPV6,該接口一定會生成一個link-local位址,而一個接口有且隻有一個link-local,一個接口可以擁有任意個AGUA位址,無論使用什麼樣的IGP,通告路由的下一跳都是鄰居接口的link-lacal位址。
全球單點傳播位址後64位的自動生成 EUI-64
• This format expands the 48-bit MAC address to 64 bits by inserting “FFFE” into the middle 16 bits。
檢視第7位,原始為1改為0,原始為0改為1。
ipv6 add 2001:1:1::/64 eui-64(自動下放IP)。
IPV6多點傳播位址
Flag:0為永久,1為臨時
Scope:1為接口有效,2為廣播域内有效,5/8為AS内有效,E全局有效
節點多點傳播位址
無狀态位址配置
ipv6 unicast-routing 開啟路由器單點傳播路由功能,預設未開啟(路由器是一台PC的狀态)。
一個節點通過無狀态位址自動配置獲悉了接口的基于EUI-64的AGUA位址的同時,如果該裝置是一台基于IPV6的PC,則該裝置同時會指定給其配置設定網段字首的路由器為其預設網關。
使用EUI 64轉換算法得到的接口ID是随機器硬體固定的,也是全局惟一的。該算法實作簡單,是一種重要的接口ID自動生成算法。
IPV6的狀态化與無狀态化的差別
一種是傳統的有狀态(stateful),典型代表就是與IPv4時代相對應的DHCPv6。
一種是IPv6的無狀态(stateless)自動配置,典型代表是Radvd。這是IPv6協定的一個突出特點:支援網絡節點的位址自動配置.。
在無狀态位址自動配置方式下,網絡接口接收路由器宣告的全局位址字首,再結合接口ID得到一個可聚集全局單點傳播位址。在有狀态位址自動配置的方式下,主要采用動态主機配置協定(DHCP),需要配備專門的DHCP伺服器,網絡接口通過客戶機/伺服器模式從DHCP伺服器處得到位址配置資訊。
二、 IPV6特性
a) 鄰居發現協定NDP:替代ARP,無狀态自動配置(字首公告,重複位址檢測DAD,字首重新編制),路由器重定向。
b) MTU的設定
不斷發送ICMP,帶有MTU discovery進而找到合适的MTU大小。
c) ICMPV6替代ARP
A發送目的位址為B的被請求節點多點傳播位址,ICMP type=135為NS請求,ICMP type=136NA為應答。
無狀态自動配置原理
發送RA包(200s發送一次),請求擷取IP的主機收到後會生成一個IPV6位址。ICMP type=134
PC接入發送RS請求字首:ICMP type=133
重複位址檢測DAD
ICMP type=135,目的位址為本身的被請求位址,如果無回複則代表無人使用,相當于IPV4中的免費ARP。
三、 IPV6-ACL
用通路控制清單access-list抓取條目,在接口下調用ipv6 traffic-filter abc out。
NS/NA如果被幹掉會無法通路任何網絡,手工配置deny any any 之前必須要放行上兩條。
Permit icmp any any nd-ns
Permit icmp any any nd-na
四、 路由協定
(一) Static
• R2:ipv6 route 1::/64 FastEthernet0/0 2001:0:0:12::1
• R1:ipv6 route 3::/64 Serial1/0 2001:0:0:13::3
• R3:ipv6 route 2001:0:0:12::/64 Serial0/0 2001:0:0:13::1
• 預設情況,路由器關閉ipv6 unicast-routing功能,可以配置靜态路由,但不能實作隔跳通路,若需要則需開啟。
(二) Ripng
• 應用層協定,UDP封裝,端口号521
• R1(config)#ipv6 router rip AA
• R1(config)#interface f0/0
• R1(config-if)#ipv6 rip AA enable接口下啟用
• R2/R3類似配置
• 啟用Ripng以及所有動态路由,前提條件必須全局下開啟ipv6 unicast-routing
(三) EIGRP
• Cisco私有,協定号88,多點傳播位址FF02::10
• ipv6 router eigrp 90程序号AS内有效
eigrp router-id 1.1.1.1必須指定
no shutdown預設被關閉,必須開啟
• interface FastEthernet0/1
ipv6 eigrp 90接口下調用
• V6版本與V4版本無異
(四) OSPF
• OSPFv3,協定号89(ipv4的是ospfv2)
• ipv6 router ospf 110
router-id 1.1.1.1
no shutdown
ipv6 ospf 110 area 0
• 所有配置與V2差不多,認證為IPSEC
• R2(config-rtr)#area 0 authentication ipsec spi 256 md5 a1234567890bcdef1234567890abcdef
• 程序級,區域内所有路由器上做
(五) BGPv4
• 配置與V4相同,建立鄰接關系指定IPV6位址
• router bgp 1
• bgp router-id 1.1.1.1
• neighbor 3::3 remote-as 1
• neighbor 3::3 update-source Loopback0
• neighbor 2001:0:0:12::2 remote-as 2
• 預設情況下,BGP的IPV6鄰接關系未被激活,預設情況下通告的路由不會被傳遞,需要手動激活,同時下一跳也需指定。
• R1(config-router)#address-family ipv6 unicast在BGP路由程序下
• R1(config-router-af)#neighbor 2001:0:0:12::2 activate需要雙方激活(EBGP對等體)
• R1(config-router-af)#neighbor 2001:0:0:12::1 next-hop-self指定下一跳
• sho ip bgp all檢視BGP表
• R2#sho bgp ipv6 unicast summary
(六) 重分發
• IPV6的IGP協定,重分發外部路由時, 不攜帶與本地直連的網段。
• 需要寫重分發直連指令。
各路由協定重分發後屬性與IPV4相同。
五、 Tunnels
Overlay tunnels
• R2/R3配置tunnel,并啟用IPV6的EIGRP
• R2/R3單點雙向重分發實作路由傳遞
• IPV6區域各接口啟用IPV6位址,實作互通
R2配置:
• interface Tunnel2
• ipv6 address 2001:0:0:23::2/64
• ipv6 eigrp 1
• tunnel source 2.2.2.2
• tunnel destination 3.3.3.3
• tunnel mode ipv6ip
• ipv6 router eigrp 1
• eigrp router-id 2.2.2.2
• no shutdown
• redistribute rip A metric 10000 100 255 1 1500 include-connected
• ipv6 router rip A
• redistribute eigrp 1 metric 3 include-connected
R3配置:
• interface Tunnel3
• ipv6 address 2001:0:0:23::3/64
• tunnel source 3.3.3.3
• tunnel destination 2.2.2.2
• redistribute ospf 5 metric 10000 100 255 1 1500 include-connected
• ipv6 router ospf 5
• router-id 3.3.3.3
• log-adjacency-changes
redistribute eigrp 1 include-connected
1、在IPV6邊界路由器之間建立一個tunnel口,建議将tunnel的源和目設定為可達的環回口位址。
2、将tunnel口的模式改為ipv6ip,實作讓tunnel将ipv6封包封裝成ipv4資料包。
3、在tunnel起AGUA位址,保證tunnel兩端的位址在同一個ipv6網段内。
4、在tunnel口兩端将其宣告進某igp協定,建立鄰接關系并傳路由。
5、在兩台邊界路由上将通過tunnel口建立的協定和本地AS的協定單點雙向重分發。
6to4自動隧道
13. 路由協定之間的差別比較
- RIP:泛洪,整張路由表進行更新。按跳數來進行計算,難以防環。七層協定,udp:520。
- EIGRP:hello包:間接檢測路由表是否能使用,dual算法,容易防環。三層或四層協定,RTP穩定機制。
- OSPF的鄰居關系建立不起來的原因:一邊單點傳播一邊多點傳播,hello時間不同,兩邊的RID不能相同,區域号不相同,IP位址不在同一個網段,認證不同。
- EIGRP的鄰居關系建立不起來的原因:一邊單點傳播一邊多點傳播,AS号不相同,IP位址不在同一個網段,兩段位址不可達,k值不相同,認證不同,hello時間不一樣。
- EIGRP和OSPF的認證值放在hello包中。
- IGP調整路徑的方法:調整路徑的方法:AD和cos值。
-
阻塞端口被開啟:
1.骨幹鍊路和上聯鍊路斷了
2.網絡擁堵
3.udld,單向鍊路出現故障
4.生成樹的角色重新選舉
- 路由器兩段的BGP建立不起來的原因:位址不可達;2.認證;AS号;更新源位址;open包,TTL;keepalive的時間不一樣;BGP的open包不走預設路由,會導緻鄰居關系起不來。