HCIE课程笔记3-RIP特性分析与案例分析
配置RIPv2特性
summary [ always ]:RIP视图命令,在有类聚合被使能的情况下,路由器在向自然网段边界外发布路由时会将子网地址聚合到自然网络边界。缺省,RIPv2已使能有类聚合功能。但当配置了水平分割或毒性反转后,路由聚合失效。配置always参数以后,无论水平分割或毒性反转与否使能,都启用RIPv2自动路由聚合。
rip summary-address ip-address mask [ avoid-feedback ]:接口视图命令,用来设置一个RIP路由器发布一个聚合的本地IP地址。通过指定avoid-feedback关键字,禁止从此接口学习到相同的聚合路由,从而可以防止路由环路。
案例分析
拓扑图:
配置如下:
R1:
int g0/0/1
ip add 192.168.1.1 24
int lo0
ip address 10.0.0.1 24
ip address 10.0.1.1 24 sub
ip address 10.0.2.1 24 sub
ip address 10.0.3.1 24 sub
rip 100
version 2
network 10.0.0.0
network 192.168.1.0
R2:
int g0/0/1
ip add 192.168.1.2 24
int g0/0/0
ip add 192.168.2.2 24
rip 100
version 2
network 192.168.1.0
network 192.168.2.0
R3:
int g0/0/1
ip add 192.168.2.3 24
int g0/0/0
ip add 172.16.3.3 24
rip 100
version 2
network 192.168.2.0
network 172.16.0.0
R4:
int g0/0/1
ip add 192.168.2.4 24
int g0/0/0
ip add 172.16.4.4 24
rip 100
version 2
network 192.168.2.0
network 172.16.0.0
R5:
int lo0
ip add 172.16.1.5 24
ip add 172.16.2.5 24 sub
int g0/0/0
ip add 172.16.3.5 24
int g0/0/1
ip add 172.16.4.5 24
rip 100
version 2
network 172.16.0.0
对网络10.0.X.0/24的网络进行有类聚合,在R1上操作:
rip 100
summary always
R2在操作前的RIP路由表项以及RIP报文:
R2在操作后的RIP路由表项以及RIP报文:
通过对比可以发现,添加summary always后,R1只发出聚合后的路由信息,R2上原有的明细路由变为不可达,最终被删除。
对网络172.16.X.0/24的网络进行最优聚合,R3和R4禁止从接口G0/0/1学习该聚合路由,在R3和R4上操作:
R3:
int g0/0/1
rip summary-address 172.16.0.0 255.255.248.0 avoid-feedback
R4:
int g0/0/1
rip summary-address 172.16.0.0 255.255.248.0 avoid-feedback
操作完成后的R2路由表项和收到的RIP报文入下图,可以看到其他明细路由项已经不可达,收到的RIP报文中只有聚合后的路由表项
调整优化RIP网络
timers rip update age garbage-collect,RIP视图命令,用来调整定时器,update为更新报文发送间隔,age为路由老化时间,garbage-collect为garbage收集时间;
rip authentication-mode md5 nonstandard password-key key-id,为接口视图命令,用于配置RIPv2使用MD5密文的验证方式,验证报文使用非标准报文格式。nonstandard指定MD5密文验证报文使用非标准报文格式。
rip replay-protect [ window-range ],接口视图命令,使能replay-protect功能。window-range指定面向连接的收发缓冲区大小,缺省window-range为50。假设运行RIP的接口状态变为DOWN之前发送的最后的RIP报文的Identification(该字段为IP头部中的字段)为X,该接口状态变为UP后,再次发送的RIP报文的Identification会变为0。如果对方没有说到这个Identification为0的RIP报文,那么后续的RIP报文都会被丢弃,知道收到Identification为0的RIP报文。这样会导致双方的RIP路由信息不同步、丢失。通过使能Replay-protect功能,可以得到接口DOWN之前所发送RIP报文的Identification,再次发送RIP报文的Identification会顺次加一,从而避免了上述情况的发生。
案例分析
拓扑图与配置同上
配置R2的MD5认证与replay-protect、RIP定时器:
int g0/0/0
rip authentication-mode md5 nonstandard Huawei 1
rip replay-protect
rip 100
timers rip 10 60 40
案例分析
- 故障排除
全网运行RIPv2之后,用户10.0.0.2发现不能访问服务器172.16.0.2。问该如何分析?
(1)确认ARP是否正常
(2)确认接口是否UP
(3)检查接口是否在RIP中使能,rip视图中network命令使能的地址必须是自然网段的地址
(4)检查对方发送版本号和本地接口接收的版本号是否匹配:缺省情况下,接口只发送RIPv1报文,但可以接收RIPv1和RIPv2报文。当入接口与收到的RIP报文使用不同的版本时,会导致RIP路由不能被正常接收
(5)检查RIP中是否配置了策略,过滤掉收到的RIP路由
(6)检查RIP使用的端口520是否被禁用
(7)检查接口是否配置了undo rip input/output或者rip metricin设置度量值过大
(8)检查接口是否配置了抑制接口
(9)检查路由度量值是否大于16
(10)检查链路两端的接口认证方式是否匹配
2.案例一
如图所示网络,需要进行部分改造,且只能对R1进行操作,要求如下:
(1)不能删除现有配置,可以添加必要配置;
(2)R1只有接口S1/0/0运行RIP,R1通过单播发送更新报文;
(3)R1只接受172.16.0.0/24、172.16.1.0/24、172.16.2.0/24、172.16.3.0/24这四条路由
(4)R1已将10.X.X.0/24引入RIP,但是向R2仅发送10.0.0.0/16汇总路由,请用最少的配置命令进行配置,确保该聚合路由不能再通过接口S1/0/0学到。
rip 1
peer 192.168.1.2 //配置单播发送更新报文
silent-interface s1/0/0 //通常情况下,peer命令使得路由器使用单播形式发送RIP报文,但并不抑制缺省发送的组播报文,因此要将接口配置为silent模式,这样,组播报文将被抑制,只有单播报文被发送出相应接口。
import-route direct //引入直连路由
filter-policy ip-prefix 1 import //使用ip-prefix过滤路由
ip ip-prefix 1 index 10 permit 172.16.0.0 22 greater-equal 24 less-equal 24
int s1/0/0
rip summary-address 10.0.0.0 255.255.0.0 avoid-feedback //进行路由汇总,并设备不从该接口学习到该聚合路由
rip 1
filter-policy ip-prefix 2 export s1/0/0 //filter-policy export用于配置全局、协议、接口的出口过滤策略,只有通过过滤的路由才能被加入路由表中,并通过更新报文发不出去
ip ip-prefix 2 index 10 permit 10.0.0.0 16
2 案例二
如图所示拓扑,已经运行RIPv2,需求如下:
- 不能删除现有配置,可以添加必要配置;
- 要求全网配置华为特有认证模式,密码Huawei,以保证网络安全
- R1只接受172.16.X.0/24网段中第24位为1的网络,禁止使用前缀列表,且命令最少;
- 全网路由发送RIP广播更新
R1/R2/R3:
int g0/0/0
rip authentication-mode md5 usual Huawei //配置RIP报文认证
int g0/0/0
rip version 2 broadcast //RIPv2默认通过组播更新报文,通过在接口视图下修改为广播
R1:
acl number 2000
rule permit source 172.16.1.0 0.0.254.255 //ACL中,将需要关注的位对应的反掩码置为0,将不需要关注的位对应的反掩码置位1
rip 1
fileter-policy 2000 import //只接受172.16.X.0/24网段地址中第24位为1的网络