華為路由器RIP簡單配置步驟
路由器系統構成了基于TCP/IP 的國際互聯網絡Internet 的主體脈絡,也可以說,路由器構成了Internet的骨架。這篇文章主要介紹了華為路由器RIP簡單配置步驟,需要的朋友可以參考下
具體介紹
session 1 rip協議
rip是一種動態路由協議,使用跳數作為度量標準,是距離矢量路由協議,是一種謠傳式的路由協議。
rip路由協議目前有2個版本,version 1 使用廣播收發rip報文,并且不支持無類路由(更新報文中不帶子網掩碼)。version 2 使用組播或者廣播(可以修改,默認組播)收發rip報文,支持無類路由(更新報文中帶子網掩碼)
rip宣告網絡只支持主類網絡。
rip是有進程之分的,可以同時運行多個rip進程,但是進程之間相互獨立,如果要不同進程宣告網絡,那么就必須在不同進程中相互重分發路由。
rip的路由防環機制有:
1、最大跳數:當一條路由到達16跳時,該路由失效,rip最大為16跳,也就是說最多可以經過16臺設備,限制了網絡的大小。
2、水平分割:單向宣告網絡,從一個接口收到的路由不會再從該接口宣告出去。
3、毒性逆轉:優化水平分割,從一個接口收到的路由會再從該接口宣告出去,但是該路由的跳數會自動設為16跳不可達。
4、保持計時器:,收到的不可達路由信息被抑制的時間,默認180s,180s內路由器不會接受和發送該抑制路由的更新信息,若180s后沒有更優的路由,該抑制路由將被刪除。
session 2 rip的配置
一、rip的認證
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123 在接口上做rip認證,MD5密文通用格式的加密,密碼123(兩端都需要配置)
二、rip報文的單播發送和更新源檢查
1、單播發送rip報文,應用于NBMA非廣播多路網絡,如framerelay、ATM、X.25,解決了這些網絡無法收發組播和廣播報文的問題
[Huawei]rip 1
[Huawei-rip-1]peer 12.1.1.2 手動指定單播發送的rip鄰居
[Huawei-rip-1]quit
2、rip檢查更新源會檢測對端接口是否和本端接口在同一個網段,在P2P網絡中鏈路的兩端ip地址屬于不同的網段,必須取消報文源檢測才能建立鄰居關系
[Huawei]rip 1
[Huawei-rip-1]undo verify-source 關閉了更新源檢測,默認情況下已開啟
[Huawei-rip-1]quit
三、rip的發布聚合路由
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/1]rip summary-address 192.168.0.0 255.255.0.0 avoid-feedback 向外宣告一條聚合路由,并且禁止從該接口學習到相同的聚合路由,以防止產生路由環路
四、路由防環命令
1、水平分割,開啟水平分割功能,默認開啟。
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/1]rip split-horizon
[Huawei-GigabitEthernet0/0/1]quit
2、毒性反轉,開啟毒性反轉功能,默認關閉。
[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/1]rip poison-reverse
[Huawei-GigabitEthernet0/0/1]quit
五、rip的路由選路
1、rip路由的優先級默認值為100,在cisco中叫管理距離,用于和其他路由協議進行比較,值小的優先
[Huawei]rip 1
[Huawei-rip-1]preference 100 route-policy rip_first 設置rip的優先級為100,后面可選參數可以用路由策略來精確匹配哪些路由條目的優先級被設置為100
[Huawei-rip-1]quit
2、rip路由metric控制,在華為設備中顯示的是cost
[Huawei-GigabitEthernet0/0/0]rip metricin 2 設置接口g/0/0/0將接收到的路由條目metric增加2
[Huawei-GigabitEthernet0/0/0]rip metricout 2 設置接口g/0/0/0將發送出的路由條目metric增加2
[Huawei-GigabitEthernet0/0/0]rip metricin ip-prefix 17net 2 設置接口g/0/0/0將接收到的ip-prefix匹配的路由條目metric增加2(也可以用acl)
六、rip的路由過濾
1、過濾收到的路由
[Huawei-rip-1]filter-policy 2999 import 在rip1中過濾掉acl2999中匹配到的接受的路由條目
[Huawei-rip-1]silent-interface {GigabitEthernet | all} 抑制rip報文,只接收rip報文,但是不發送rip報文
2、過濾發送的路由
[Huawei-rip-1]filter-policy 2999 export 在rip1中過濾掉acl2999中匹配的要發送的路由條目
3、默認路由
[Huawei-rip-1]default-route originate cost 2 生成一條默認路由發送給鄰居,cost為2
session 3 rip重分發及路由過濾的實例配置
AR1運行rip 1,AR3運行rip 3,AR2作為連接終點運行rip1與AR1建立鄰居(其中AR1與AR2需要建立rip 1認證),而運行rip3與AR3建立鄰居,為了使得AR1和AR3相互學習到不同rip進程中的路由,需要在AR2上進行路由重分發,將rip3與rip1中路由相互重分發,實現AR1與AR3的互通,并且要實現AR1只能學習到172.16.1.0/24的路由,而不允許學習到172.16.2.0/24網路,需要在AR2上做rip路由的分發過濾,將宣告給AR1的rip3中的路由條目172.16.2.0/24過濾掉。
配置實例如下:
AR1上的配置
#
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
rip authentication-mode md5 usual cipher %$%$2iu7P"~GlQCxjw6'[n2IC]5f%$%$ 配置與AR2的rip認證
#
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
#
rip 1
undo summary 關閉rip的路由匯總
version 2
network 12.0.0.0
network 192.168.1.0
#
AR2上的配置
#
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
rip authentication-mode md5 usual cipher %$%$,EaAAs(q<*8PCJM\=C]/C`G\%$%$ 配置認證
#
interface GigabitEthernet0/0/1
ip address 23.1.1.2 255.255.255.0
#
rip 1
undo summary
version 2
network 12.0.0.0
filter-policy ip-prefix deny2.0 export GigabitEthernet0/0/0 配置路由發布過濾,用ip-prefix匹配允許發布的路由
import-route rip 3 將rip3重分發到rip1中,cost默認1
#
rip 3
undo summary
version 2
network 23.0.0.0
import-route rip 1 將rip1重分發到rip3中,cost默認1
#
ip ip-prefix deny2.0 index 10 permit 172.16.1.0 24 使用前綴列表抓取rip1中需要發布的路由
#
AR3上的配置
#
interface GigabitEthernet0/0/0
ip address 23.1.1.3 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 172.16.2.1 255.255.255.0
#
rip 3
undo summary
version 2
network 172.16.0.0
network 23.0.0.0
#
檢查配置結果,查看AR1上是否只有172.16.1.0/24路由在rip中被學習到。
AR1上查看rip路由表
[Huawei]display ip routing-table protocol rip
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : RIP
Destinations : 1 Routes : 1
RIP routing table status :
Destinations : 1 Routes : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
172.16.1.0/24 RIP 100 1 D 12.1.1.2 GigabitEthernet0/0/0
RIP routing table status :
Destinations : 0 Routes : 0
[Huawei]
[Huawei]ping 172.16.1.1
PING 172.16.1.1: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.1: bytes=56 Sequence=1 ttl=254 time=30 ms
Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=254 time=20 ms
Reply from 172.16.1.1: bytes=56 Sequence=3 ttl=254 time=30 ms
--- 172.16.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/28/30 ms
[Huawei]
相關閱讀:路由器安全特性注意點
由于路由器是網絡中比較關鍵的設備,針對網絡存在的各種安全隱患,路由器必須具有如下的安全特性:
(1)可靠性與線路安全 可靠性要求是針對故障恢復和負載能力而提出來的。對于路由器來說,可靠性主要體現在接口故障和網絡流量增大兩種情況下,為此,備份是路由器不可或缺的手段之一。當主接口出現故障時,備份接口自動投入工作,保證網絡的正常運行。當網絡流量增大時,備份接口又可承當負載分擔的任務。
(2)身份認證路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。
(3)訪問控制對于路由器的訪問控制,需要進行口令的分級保護。有基于IP地址的訪問控制和基于用戶的訪問控制。
(4)信息隱藏與對端通信時,不一定需要用真實身份進行通信。通過地址轉換,可以做到隱藏網內地址,只以公共地址的方式訪問外部網絡。除了由內部網絡首先發起的連接,網外用戶不能通過地址轉換直接訪問網內資源。
(5)數據加密
為了避免因為數據竊聽而造成的信息泄漏,有必要對所傳輸的信息進行加密,只有與之通信的對端才能對此密文進行解密。通過對路由器所發送的報文進行加密,即使在Internet上進行傳輸,也能保證數據的私有性、完整性以及報文內容的真實性。
(6)攻擊探測和防范
路由器作為一個內部網絡對外的接口設備,是攻擊者進入內部網絡的第一個目標。如果路由器不提供攻擊檢測和防范,則也是攻擊者進入內部網絡的一個橋梁。在路由器上提供攻擊檢測,可以防止一部分的攻擊。
華為路由器RIP簡單配置步驟相關文章: