《高級(jí)路由技術(shù)（理論篇）》-教學(xué)PPT3-1：使用RIP實(shí)現(xiàn)中小型網(wǎng)絡(luò)互連

單元3：使用RIP實(shí)現(xiàn)中小型網(wǎng)絡(luò)互連《高級(jí)路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景某學(xué)?？紤]校園網(wǎng)出口路由器性能，使用RIP路由實(shí)現(xiàn)網(wǎng)絡(luò)連通，RIP路由以其消耗資源少，管理簡單等優(yōu)點(diǎn)，適應(yīng)該學(xué)校網(wǎng)絡(luò)出口帶寬管理需求。為了優(yōu)化路由表，實(shí)施RIP路由匯總，控制路由傳播，優(yōu)化網(wǎng)絡(luò)出口帶寬。另外，為了防止來自外網(wǎng)中攻擊，避免偽裝成的合法路由器接收并修改路由信息，在出口路由器配置RIPv2安全認(rèn)證，保護(hù)網(wǎng)絡(luò)安全。學(xué)習(xí)目標(biāo)掌握RIP路由更新機(jī)制。會(huì)處理RIP路由環(huán)故障。配置RIPv2路由安全認(rèn)證。掌握RIP被動(dòng)接口，單播更新。3.1深入了解RIP協(xié)議RIP稱為距離矢量路由協(xié)議，通過路由跳數(shù)來衡量。跳數(shù)（hopcount）是報(bào)文從一個(gè)節(jié)點(diǎn)到目的節(jié)點(diǎn)經(jīng)過路由器數(shù)目。通過RIP路由協(xié)議生成的路由表中的每一項(xiàng)，都包含了最終目的地址、到達(dá)目的節(jié)點(diǎn)經(jīng)過的路徑下一跳節(jié)點(diǎn)（nexthop）等信息。3.1.1RIP路由概述3.1深入了解RIP協(xié)議RIP最多支持跳數(shù)為15，即跳數(shù)16表示不可達(dá)。對(duì)于超過15跳網(wǎng)絡(luò)，RIP就有局限性。RIP協(xié)議處理是通過UDP協(xié)議封裝，使用520端口來操作，所有的RIP消息都封裝在UDP數(shù)據(jù)報(bào)文中。3.1.1RIP路由概述3.1深入了解RIP協(xié)議RIP每30秒就收到一次來自鄰居路由器路由更新；如果經(jīng)過180秒，一條路由表項(xiàng)沒有得到更新，路由器就認(rèn)為它失效，把狀態(tài)修改為down。如果經(jīng)過240秒，該路由表項(xiàng)仍沒有得到更新和確認(rèn)，這條路由信息就按照規(guī)則，將從路由表刪除。其中，30秒，180秒和240秒延時(shí)，都由計(jì)時(shí)器控制，分別是更新計(jì)時(shí)器（Update

Timer）、無效計(jì)時(shí)器（Invalid

Timer）和刷新計(jì)時(shí)器（Flush

Timer）。3.1.2RIP定時(shí)器3.2RIP學(xué)習(xí)更新機(jī)制RIP路由在初始化時(shí)，從參與接口發(fā)送請(qǐng)求數(shù)據(jù)包，向相鄰RIP路由器請(qǐng)求完整路由表。當(dāng)路由器更新周期到達(dá)時(shí)，路由器向外廣播自己路由表。這時(shí)，路由器發(fā)出路由更新中只有直連網(wǎng)段路由，其跳數(shù)在到達(dá)鄰居路由表時(shí)加1。3.2.1RIP學(xué)習(xí)生成路由表3.2RIP學(xué)習(xí)更新機(jī)制RIP路由有兩種消息報(bào)文，響應(yīng)報(bào)文和請(qǐng)求報(bào)文。請(qǐng)求報(bào)文中每條路由都被處理，為路由建立度量和路徑。路由器B收到鄰居路由器A路由更新，把1.0.0.0/8網(wǎng)絡(luò)添加到路由表中，修改跳數(shù)為1。3.2.1RIP學(xué)習(xí)生成路由表3.2RIP學(xué)習(xí)更新機(jī)制因?yàn)镽IPv1版本缺陷，RIPv2版本在1994年提出。RIPv2沒有完全更改版本1內(nèi)容，增加一些新特性，使得RIPv2將更多網(wǎng)絡(luò)加入路由表。在RIPv2版本每一條路由信息中加入子網(wǎng)掩碼，所以RIPv2是無類路由協(xié)議。RIPv2使用組播地址224.0.0.9發(fā)送路由更新報(bào)文，優(yōu)化了傳輸效率。RIPv2還支持身份認(rèn)證，利用明文或者M(jìn)D5算法來實(shí)現(xiàn)安全身份認(rèn)證，這可以讓路由器確認(rèn)它所學(xué)到路由信息，保障了路由傳播安全。3.2.2RIP路由協(xié)議版本3.3處理RIP路由環(huán)路路由環(huán)是路由器在學(xué)習(xí)RIP路由過程中故障現(xiàn)象。如網(wǎng)絡(luò)拓?fù)涓淖兒?，網(wǎng)絡(luò)開始重新收斂，網(wǎng)絡(luò)收斂緩慢產(chǎn)生不協(xié)調(diào)，或者矛盾的路由選擇條目，就發(fā)生路由環(huán)路的問題。RIP協(xié)議產(chǎn)生了路由環(huán)后，路由器對(duì)無法正常接收處理RIP報(bào)文，導(dǎo)致RIP路由更新報(bào)文在網(wǎng)絡(luò)上循環(huán)發(fā)送，造成網(wǎng)絡(luò)資源嚴(yán)重?fù)p耗。3.3.1了解RIP路由環(huán)危害3.3處理RIP路由環(huán)路RIP路由環(huán)過程不斷循環(huán)，直到所有路由表中到達(dá)網(wǎng)絡(luò)4.0.0.0/8網(wǎng)絡(luò)度量變成16，造成網(wǎng)絡(luò)不可達(dá)的故障，也就是計(jì)數(shù)到無窮大（CounttoInfinity）。那時(shí)，路由信息超時(shí)，從路由表中刪除。從這個(gè)例子看出，由于路由器B和C之間形成路由環(huán)路，導(dǎo)致路由故障出現(xiàn)。3.3.1了解RIP路由環(huán)危害3.3處理RIP路由環(huán)路防止RIP路由環(huán)路方法：路由器B不把從路由器C學(xué)習(xí)到路由，通告給路由器C。同樣，也不把從路由器A學(xué)習(xí)到路由，通告給路由器A；這種方法稱為水平分割。水平分割保證RIP路由器記住每一條RIP路由信息來源，不在收到這條路由接口上，再次發(fā)送從該接口學(xué)到RIP路由。這是保證不產(chǎn)生路由環(huán)路的最基本措施。3.3.2防止RIP路由環(huán)方法3.3處理RIP路由環(huán)路毒性逆轉(zhuǎn)是當(dāng)RIP路由器學(xué)習(xí)到一條毒化路由（度量值為16）時(shí)，在沒有應(yīng)用水平分割情況下，對(duì)外通告毒化路由。路由器B響應(yīng)這個(gè)更新，修改自己路由表，并立即回送（觸發(fā)）包含4.0.0.0/8度量值為16的更新，這就是毒性逆轉(zhuǎn)。3.3.2防止RIP路由環(huán)方法3.4配置RIP被動(dòng)接口，使用單播更新RIPv1使用廣播更新；RIPv2使用組播更新，無論是RIPv1還是RIPv2都還可以使用單播更新。開啟單播更新之后，RIP除使繼續(xù)使用組播和廣播更新，還可以使用單播更新外。也就是開啟單播更新后，RIP路由更新沒有減少，反而增加了。但有個(gè)特殊情況：如果配合使用使用RIP被動(dòng)接口，可以抑制從某個(gè)接口上發(fā)送的廣播和組播更新；但是，被動(dòng)接口不抑制單播更新。因此，在采用單播更新時(shí)，可以利用被動(dòng)接口技術(shù)，消除其它不必要的路由更新。3.5配置RIP路由首先，創(chuàng)建RIP路由進(jìn)程，并定義與RIP路由進(jìn)程相關(guān)聯(lián)網(wǎng)絡(luò)。在路由進(jìn)程配置模式中，執(zhí)行以下命令可以啟動(dòng)RIP動(dòng)態(tài)路由協(xié)議。需要注意的是，Network命令需要一個(gè)有類網(wǎng)絡(luò)號(hào)（沒有子網(wǎng)掩碼），即A、B、C三類網(wǎng)絡(luò)（版本1和2都是如此）。如果在Network命令中使用一個(gè)帶子網(wǎng)IP地址，路由器也會(huì)接受這個(gè)命令，但會(huì)修改Network命令，自動(dòng)匹配為A、B、C有類網(wǎng)絡(luò)。3.5.1RIP路由基本配置3.5配置RIP路由RIP路由自動(dòng)匯總技術(shù)是當(dāng)攜帶子網(wǎng)的路由穿越有類網(wǎng)絡(luò)邊界時(shí)，將自動(dòng)匯總成有類網(wǎng)絡(luò)路由。默認(rèn)情況下，RIPv2進(jìn)行路由自動(dòng)匯聚；RIPv1不支持該功能。RIPv2路由自動(dòng)匯總功能，提高了網(wǎng)絡(luò)的伸縮性。如果有匯總路由存在，在路由表中將看不到包含在匯總路由內(nèi)的子網(wǎng)路由，大大縮小路由表規(guī)模。RIPv2路由再對(duì)外通告匯總路由時(shí)，比單獨(dú)逐條路由進(jìn)行通告更有效率。因?yàn)镽IPv2在查找RIP數(shù)據(jù)庫時(shí)，匯總路由會(huì)得到優(yōu)先處理，忽略子網(wǎng)路由可以減少處理時(shí)間。3.5.2配置RIPv2路由自動(dòng)匯總3.5配置RIP路由RIP提供了時(shí)鐘調(diào)整的功能，你可以根據(jù)網(wǎng)絡(luò)的具體情況進(jìn)行時(shí)鐘調(diào)整，使RIP路由協(xié)議能夠運(yùn)行的更好?？梢愿鶕?jù)網(wǎng)絡(luò)具體情況調(diào)整時(shí)鐘，使RIP協(xié)議能夠運(yùn)行得更好。默認(rèn)情況下，RIP提供更新時(shí)間為30秒；刷新時(shí)間為120秒；路由無效時(shí)間為180秒，路由清除時(shí)間為240秒。通過調(diào)整以上時(shí)鐘，可能會(huì)加快路由協(xié)議的收斂時(shí)間以及故障恢復(fù)時(shí)間。要調(diào)整RIP時(shí)鐘，在RIP路由進(jìn)程配置模式中執(zhí)行以下命令。3.5.3調(diào)整RIP時(shí)鐘3.5配置RIP路由路由器之間路由信息交換的安全也是保障網(wǎng)絡(luò)安全重要之一，如需要保證進(jìn)入路由表的信息是可靠，避免網(wǎng)絡(luò)中的攻擊者試圖引入無效路由來欺騙路由器：或者發(fā)送非法路由更新消息試圖破壞網(wǎng)絡(luò)；或通過欺騙路由器發(fā)送數(shù)據(jù)到錯(cuò)誤目的地址，試圖捕獲網(wǎng)絡(luò)數(shù)據(jù)包；或者把路由條目發(fā)向錯(cuò)誤地址，導(dǎo)致路由信息泄露。通過配置RIPv2路由身份認(rèn)證，增加RIP路由更新安全。RIPv2能夠通過更新消息所包含口令，來驗(yàn)證某條路由選擇消息源合法性。3.5.4配置RIP水平分割3.5配置RIP路由RIPv2是距離矢量路由協(xié)議，不需要建立鄰居關(guān)系，其身份認(rèn)證是單向的關(guān)系，即路由器1通過了路由器2的身份認(rèn)證時(shí)（路由器2是被認(rèn)證方），路由器1就接收路由器2發(fā)送來的路由。反之，如果路由器1沒通過路由器2時(shí)（路由器2是被認(rèn)證方）身份認(rèn)證，路由器1將不能接收路由器2發(fā)送來的路由。路由器1認(rèn)證了路由器2（路由器2是被認(rèn)證方），不代表路由器2也能認(rèn)證了路由器1（路由器1是被認(rèn)證方）。明文認(rèn)證時(shí)，被認(rèn)證方發(fā)送keychian時(shí)，發(fā)送最低ID值的key，并且不攜帶ID；認(rèn)證方接收到key后，和自己keychain的全部key進(jìn)行比較，只要有一個(gè)key匹配就通過對(duì)被認(rèn)證方的認(rèn)證。3.5.5配置RIPv2身份認(rèn)證3.5配置RIP路由使用下面這幾個(gè)命令，有針對(duì)性檢查RIP和接口配置。Router(config)#ShowipripRouter(config)#ShowipripdatabaseRouter(config)#Showipinterfacebrief這些命令輸出結(jié)果提供大量信息