目录
RIP (路由信息协议)
算法
开销
版本
开销值的计算方式
RIPV1和RIPV2的区别
RIP的数据包
Request(请求)包
Reponse(应答)包
RIP的特征
周期更新
RIP的计时器
1,周期更新计时器
2,失效计时器
3,垃圾回收计时器
RIP的核心思想(算法)---Bellman-Ford算法
Bellman-Ford算法
RIP的环路问题 ---- 异步周期更新导致
1,15跳的开销限制(开销值不断叠加,自动破环)
2,触发更新
3,水平分割
4,毒性逆转
RIP的基本配置
1,启动RIP进程
2,版本选择
3,宣告
沉默接口
RIPV1与RIPV2的区别
1、RIPV1数据包内容
2、RIPV2数据包内容
重发布
RIPV1和RIPV2互通的方法:
RIP的拓展配置
1,RIPV2的手工认证
2,RIPV2的手工汇总
汇总的优点:
3,加快收敛
4,缺省路由
RIP的路由控制
1、通过修改优先级影响RIP的选路
2、通过修改开销值影响RIP的选路
1、抓取流量修改开销值允许该流量通过
2、抓取流量使得该流量禁止通过
单播邻居
沉默接口
RIP (路由信息协议)
算法
贝尔曼-福特算法 --- 灵魂
开销
RIP以跳数作为开销值。RIP存在一个15跳工作半径。当路由的开销值达到16跳时,则认为该路径不可达。
版本
RIPV1,RIPV2 --- IPV4领域
RIPNG --- IPV6领域
RIP协议在传递信息时仅需要携带两个参数,一个是目标网段信息,一个是开销值。
开销值的计算方式
COST = 本地路由表中该网段的开销值 + 1
RIPV1和RIPV2的区别
1,RIPV1是有类别的路由协议,RIPV2是无类别的路由协议。
RIPV1在传递目标网段信息的时候不携带子网掩码,RIPV2在传递目标网段信息时携带子网掩码因为这个原因,导致RIPV1不支持非连续子网网络。以及VLSM和CIDR
2,RIPV1采用广播的形式进行邻居间的通信,RIPV2采用组播(224.0.0.9)的形式进行邻居间的通信。
但凡是224.0.0.X开头的组播地址都称为本地链路组播,其特点是这类组播的TTL值为1。这类信息仅能在一个广播域内进行传播。
RIPV1和RIPV2都是基于UDP的520端口进行通信
RIPNG是基于UDP的521端口进行通信
3,RIPV2支持手动认证和手工汇总,RIPV1不支持。
RIP的数据包
Request(请求)包
当RIP运行后将立即发出,希望尽快从邻居处获取未知网段的路由信息。
Reponse(应答)包
携带路由信息的数据报。
RIP的特征
RIP在收敛完成之后,依然会每隔30S发一次Reponse(应答)包,我们把RIP的这种现象称为RIP的周期更新。 ---- 一方面,弥补自身没有保活机制,另一方面弥补自身没有确认机制。
周期更新
异步周期更新 --- 30S即周期更新计时器。为了确保异步周期更新,RIP并没有严格按照30S的更新周期来执行,而是在该时间上增加了一个小的偏移量±5S。
RIP的计时器
1,周期更新计时器
默认30S
2,失效计时器
180S --- 当一条路由信息180S未刷新,则RIP将判定该路由失效。(路由器将会把该路由从全局路由表中删除,还会保存在缓存中,并且将其开销值置为16,之后周期更新时依然携带。---带毒传输)
3,垃圾回收计时器
120S --- 失效路由在120S内将继续发出,进行带毒传输。当该计时器归零后。将该路由信息彻底删除。
RIP的核心思想(算法)---Bellman-Ford算法
Bellman-Ford算法
1,AR2发送2.0网段的信息给AR1,如果,AR1本身并不存在该网段的路由信息,则将直接刷新到本地的路由表中。
Destination/Mask Proto Pre Cost Flags NextHop Interface
2.2.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0
2,AR2发送2.0网段的信息给AR1,如果,R1本身存在该网段的路由信息, 且下一跳就是AR2。则将AR2发来的信息刷新到路由表中。
3,AR2发送2.0网段的信息给AR1,如果,R1本身存在该网段的路由信息, 但是下一跳不是AR2,则比较开销值,如果,本地路由的开销值大于AR2发来的开销值,则将AR2发来的信息刷新到路由表中。
4,AR2发送2.0网段的信息给AR1,如果,R1本身存在该网段的路由信息, 但是下一跳不是AR2,则比较开销值,如果,本地路由的开销值小于AR2发来的开销值,则不刷新路由条目。
RIP的环路问题 ---- 异步周期更新导致
1,15跳的开销限制(开销值不断叠加,自动破环)
2,触发更新
当拓扑结构发生变化的第一时间,将该变更信息传递出去
3,水平分割
从哪个接口学到的信息,将不再从哪个接口发出去。
4,毒性逆转
从哪个接口学到的信息,依然可以从这个接口发出去,但是必须带毒(将COST改为16)
在一台路由器上,水平分割和毒性逆转只能二选其一,华为设备默 认开启的是水平分割机制。但如果同时开启水平分割和毒性逆转,华为设 备将按照毒性逆转来执行。
RIP的基本配置
1,启动RIP进程
[r1]rip 1 --- 进程号,仅具有本地意义
[r1-rip-1]
2,版本选择
[r1-rip-1]version 2
3,宣告
要求:1,所有直连网段都需要宣告
2,必须按照主类来进行宣告
命令配置:[r1-rip-1]network 12.0.0.0
目的:1,激活接口 --- 只有激活的接口才能收发RIP的数据
2,发布路由 --- 只有激活接口对应的网段路由信息才能被发布
沉默接口
将一个接口配置为沉默接口之后,将只接受不发送RIP数据包
[r1-rip-1]silent-interface GigabitEthernet 0/0/0
RIPV1与RIPV2的区别
RIPV1和RIPV2是不兼容的,不能互通
1、RIPV1数据包内容
Command --- 表示RIP数据包的类型 --- Requset -- 1
Response -- 2
Version --- 版本 --- V1 --- 1;V2 --- 2
路由条目信息 --- 一个RIP数据包中最多可以携带25跳路由信息。
Address Family ---- 地址族标识符;IP --- 2
目标网段 + 开销值
交换机泛洪的条件 --- 1,广播帧;2,组播帧;3,未知单播帧
RFC --- 行业技术汇编 3171 --- RIP
2、RIPV2数据包内容
Command --- 表示RIP数据包的类型 --- Requset ---1
Response -- 2
Version --- 版本 --- V1 -- 1;V2 --- 2
路由条目信息 --- 一个RIP数据包中最多可以携带25跳路由信息。
Address Family --- 地址族标识符;IP --- 2
Route tag --- 路由标签 --- 可以给流量打标记
目标网段 + 子网掩码 + 开销值
Next hop(下一跳) --- 一般情况下,下一跳字段均为0.0.0.0。如果存在选路不佳的情况,则下一跳字段中将携带最佳下一跳的地址。
RIPV2的下一跳问题
主要为了应对一些选路不佳的情况,他可以直接指定下一跳而不是按照算法算出来的下一跳。
重发布
因为不同的路由协议的运行原理和对路由的理解都不相同,所以,不同的路由协议之间存在信息隔离。想让不同的协议的路由信息互通, 我们可以在运行不同协议的边界设备上,将不同路由协议之间进行转换 --- 重发布 --- 路由器将一种路由协议通过另一种路由协议的方式传播出去。
配置命令:[r1-rip-1]import-route static
RIPV1和RIPV2互通的方法:
1,重发布
2,[r3-GigabitEthernet0/0/0]rip version 2 --- 在接口上执行该命令,可以让该接口发送的RIP信息均按照RIPV2的规则来传递和接收。
RIP的拓展配置
1,RIPV2的手工认证
因为RIPV2并没有给认证预留空间,所以,在进行认证之后,认证数据将会占用一条路由条目的空间,导致,进行认证的RIP数据包中最多只能携带24条路由条目信息。
配置命令:[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456
2,RIPV2的手工汇总
汇总后将立即抑制明细路由,将明细路由的开销值改为16,进行带毒传输。
配置命令:[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0
注意,汇总之后不要忘记添加空接口路由进行防环。
汇总的优点:
1,可以减少路由条目数量,提高转发效率
2,可以防止路由表翻滚,确保网络的稳定性
3,加快收敛
减少计时器时间
配置命令:[r1-rip-1]timers rip 30 180 120 --- 注意,不要改变计时器之间的倍数关系
4,缺省路由
配置命令:[r3-rip-1]default-route originate --- 在边界路由器上下 发,将使边界设备作为缺省源,所有内网设备将自动生成一条缺省路由指向边界方向。但注意,边界设备上的缺省信息必须手工 配置。
[r3-GigabitEthernet0/0/0]rip summary-address 0.0.0.0 0.0.0.0 --- 在边界路由器连接内网接口上下发汇总信息。
RIP的路由控制
1、通过修改优先级影响RIP的选路
[r1-rip-1]preference 150 --- 将RIP默认优先级修改为150(仅影响本地路由表) ---- 仅适用于不同协议之间进行比较选路
2、通过修改开销值影响RIP的选路
1,在RIP中,不允许将开销值修改变小,主要是因为RIP存在15跳的限制,如果随意将开销值改小,则将导致15跳限制形同虚设。所以,RIP在进行开销值修改时,只能将开销值改大。
2,在开销值改大时,也可以从两个方向入手修改。
如果选择在出方向修改,则修改的是路由传递时的增加值。
如果选择在入方向修改,则修改效果是直接在本地路由表开销值的基础上增加。
如果需要进行精准控制,就是对某个网段的路由信息中的开销值进行调整,我们可以使用ACL列表对该网段流量进行抓取,之后针对抓取流量进行开销值的修改。
1、抓取流量修改开销值允许该流量通过
1,创建ACL列表,抓取对应网段流量
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 4.4.4.0 0
2,在接口上修改开销值
[r2-GigabitEthernet0/0/0]rip metricout 2000 10 --- 出方向修改
[r1-GigabitEthernet0/0/0]rip metricin 2000 3 --- 入方向修改路由过滤 --- 也属于路由控制的一种,我们可以过滤掉某些路由信息,这样从一开始,就不去加表。
路由过滤也可以分为入方向(影响自己)和出方向(影响别人)在华为设备中,进行路由过滤需要用到过滤列表 --- filter-policy过滤列表本身是高阶列表,但是因为自身并不具备过滤功能,所以需 要调用ACL列表,并且依赖ACL列表的过滤功能。
2、抓取流量使得该流量禁止通过
1,创建ACL列表,抓取并过滤路由信息
[r2]acl 2001
[r2-acl-basic-2001]
[r2-acl-basic-2001]rule deny source 4.4.4.0 0[r2-acl-basic-2001]rule permit source any --- 一定要加,因为华为设备ACL列表末尾并不是隐含了一条允许所有的规则,只是对未匹配到的流量不做处理。如果不加这一条,则将会过滤掉所有路由信息。
2,通过过滤列表对路由信息进行过滤
[r2-rip-1]filter-policy 2001 export GigabitEthernet0/0/0 --- 在出方向调用过滤列表
[r1-rip-1]filter-policy 2001 import --- 在入方向进行调用单播邻居
[r1-rip-1]peer 10.0.0.2
单播邻居的配置方法(注意,邻居之间必须互相指定对方为自己的单播邻居才行)
邻居之间将以单播的形式发送路由信息,但是,组播或者广播信息也同时会发送所以,单播邻居需要和沉默接口一起使用才能达到其效果。(如果存在多个路由器需要相互指定)
沉默接口
1,只收数据不发数据;
2,沉默接口的效果只影响组播或者广播包,但是,对单播包没有影响
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&安全>web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施
,从而减少由网络安全而带来的经济损失
