距離矢量路由協議
----------------------
通過使用Bellman-Ford算法,距離矢量路由協議在鄰接的數據鏈路上,週期性地向直連鄰居廣播整個路由表的路由更新信息,而不管網絡是否發生了拓撲改變。對於許多路由協議來說,當所接收到的多個路由的度量更新值相同時,就將兩個表項都放入路由表中,並執行負載均衡(通過兩條可選路徑傳輸包)。
緩解路由環路
----------------
爲了避免路由環路,距離矢量路由協議在路由協議操作的內部採取了幾種對策:
1、無窮計數:在路由協議的設計中包含一個最大跳數。使用這種策略,在到達了協議所允許的最大跳數之後,路由器就可以決定網絡是不可到達的。注意:RIPv1和RIPv2的最大跳數都爲15,這在很大程度上限制了RIP網絡的規模。由於EIGRP有一些距離矢量路由協議的特性,因此最大跳數值爲224。OSPF是鏈路狀態路由協議,不受最大跳數的限制,因此它可以有無窮大的跳數。
2、水平分割:不會在同一個接口上將學到的網絡信息再通告回去。
3、路由抑制、毒性逆轉和抑制定時器
毒性逆轉是某路徑崩潰後,最早廣播此路由的路由器將原路由繼續保留在若干報文中,但指明該路由爲無限長(接收方收到路由信息以後,告訴對方不可從我處到達)。利用毒性逆轉進行路徑水平分割,包括更新的路徑,但將其距離設成無限大。從效果上來說,這就相當在傳播那些路徑無法到達的信息。
4、觸發更新:一條路由down以後,會立刻發送更新信息。
RIP維護路由信息
--------------------
1、路由更新定時器:定義路由信息更新的週期,默認30s;
2、路由失效定時器:定義一條路由爲失效路由所以歷的時間,默認爲180s;
3、保持失效定時器:定義一條路由爲失效路由的時間,在此時間內此路由信息不可以轉發數據,默認爲180s(在路由表中將其刪除)。
4、路由刷新定時器:定義失效路由從RIP路由表中刪除的時間,默認爲240s;
RIP最多能夠支持6條相等路徑的負載均衡(默認時爲4條)。RIP的更新間隔是每隔30s,它的失效定時器設置爲180s。因此,RIPv1將每隔30s廣播其路由表,在6個週期都沒有收到更新之後,RIP將認爲鄰居或網絡失效了。
RIP的配置
--------------
只要記住下面兩條簡單的規則,就可順利完成RIP的配置:
1、只通告直連的網絡;
2、只通告有類的網絡。
要牢記:除非用network命令在路由協議進程中包括了各自的網絡,否則,路由協議就不會在接口上偵聽網絡,也不會從通告中學到網絡。
如果想要改動所允許的等價路徑的數量,以便用RIP實現負載均衡,就可以在路由進程中使用命令maximum-paths。例如,如果想要將最在路徑數量改動爲6條,配置如下:
Router(config) #router rip
Router(config-router) #maximum-paths 6
要在多條等價路徑上禁用負載均衡,可將最大路徑數設置爲1。
被動接口
-------------
在某個接口上配置了被動接口命令之後,更新就不會再從那個接口上發送出去。然而餘,如果由於某種原因在那個接口上接到了更新,它就仍將處理這個更新,並將它放入其路由表中。具體配置命令如下:
Router(config) #router rip
Router(config-router) #passive-interface fastethernet 0/0
RIPv2的特性
----------------
1、組播更新:RIPv2不是廣播其路由更新,而是使用保留的組播地址224.0.0.9來與其他RIPv2鄰居進行通信。通過使用組播地址,它就不會浪費非RIP設備的處理資源,因爲只有RIPv2設備才處理到組播地址的信息。
2、對有類和無類的支持:默認時,RIPv2是有類的,但可配置爲無類路由協議,這樣就能夠在路由更新中發送子網掩碼信息。這種增強性的實施,使得RIPv2能夠支持VLSM和不連續網絡設計。
3、對更新的認證:爲了保證路由更新的原始性,免受***者欺騙性路由更新,RIPv2允許對更新的認證,在進行認證時,所有路由器上的口令都必須匹配,以確保路由更新的有效性。
RIPv2的配置
---------------
RIPv2的配置實際上與RIPv1是一樣的。換句話說,仍然必須使用router rip命令進入RIP路由進程,仍然必須通告直連的有類網絡。要啓用RIPv2,必須在路由進程中輸入命令version 2:
Router(config) #router rip
Router(config-router) #version 2
Router(config-router) #network 172.16.0.0
Router(config-router) #network 192.168.1.0
默認時,RIPv2是有類的。要配置這種增強的路由協議來支持無類路由更新,要在路由進程中輸入的唯一配置命令是no auto-summary;
Router(config) #router rip
Router(config-router) #no auto-summary
在配置了這個命令之後,RIPv2更新就通過組播地址224.0.0.9發送出去,就不再被認爲是有類的了,因爲在路由更新中子網掩碼將隨網絡一起通告出去。
提示:默認時,RIP配置爲發送版本1並接收版本1和版本2更新,這意味着沒有改動到版本2的路由器仍將接收版本2更新,但將它們處理爲版本1(忽略任何子網掩碼和認證)。如果你決定使用命令version 1將RIP配置轉換到版本1,就一定要牢定這一點。這個命令用來指示路由器只接收版本1更新,這將導致版本2更新被當作非法的版本而被忽略掉。要轉換默認的RIP配置,更好的方法是在RIP路由進程中使用命令default version。
RIPv2更新的認證
--------------------
就像前面提到的,RIP提供更新認證,通過對路由更新進行認證,可以幫助路由器免受虛假的設備或***者將錯誤的路由信息注入到路由表中。這種認證是通過定義密鑰,並在密鑰之後附加一個密鑰串(口令)來實現的。這種密鑰串必須在兩臺路由器上相匹配,否則更新將被拒絕。
要定義認證密鑰,可在全局配置模式下使用命令key chain,後面緊跟密鑰串的名稱。在輸入此命令之後,就進入config-keychain子配置模式:
Router(config) #key chain luckyrabbitsfoot
Router(config-keychain) #
如果願意,可以在這裏配置幾個密鑰,後面緊跟幾個不同的密鑰串口令。要創建密鑰,可使用key關鍵詞,以及一個用於此key的數字標識符。這時將進入對應於此特定key的另一個子配置模式,通過config=keychain-key提示符反映出來:
Router(config-keychain) #key 1
Router(config-keychain-key) #
現在,我們終於可以定義口令了,可使用命令key-string來定義,後面緊跟將在每臺路由器上進行匹配的口令:
Router(config-keychain-key) #key-string whataRIPoff
在定義了密鑰串之後,必須將它應用連接到帶有匹配認證配置的鄰接RIPv2路由器的接口上。向接口分配密鑰串的命令是ip rip authentication key-chain,後面緊跟剛纔定義的密鑰串:
Router(config-keychain-key) #exit
Router(config-keychain)# exit
Router(config) #interface serial0/0/0
Router(config-if) #ip rip authentication key-chain luckyrabbitsfoot
默認時,在鏈路上以明文形式發送這種密鑰串,這將成爲安全鏈路的脆弱點,因爲如果鏈路被搭線竊聽了,就可以看到密鑰串。要保證其安全,可使用如下命令對口令使用MD5散列:
Router(config-if) #ip rip authentication mode md5
RIP的驗證
---------------
要驗證RIP,可使用各種各樣的show命令,每個show命令都能夠提供同樣多的有關所配置的RIP路由協議的信息。具體的有:
show running-config
show ip route
show ip protocols