路由配置

路由器的遞歸查找

當一條路由的下一跳地址不是本路由器的直連路由的時候，路由器會將下一跳地址作爲目的地址，在自己的路由表中進行第二次查找，尋找是否有路由可以達到該網絡，如果有，則路由生效，沒有，則路由不生效。

水平分割

路由協議防環的一種手段，從一個接口發出去的路由，不從這個接口再收到。

RIP

典型的距離矢量路由協議，工作在UDP之上，UDP端口號：520，RIP路由協議的工作依賴於IP，只能工作在一個純粹的IP網絡中。RIP採用廣播或者組播的方式定時更新自己的路由表，定時週期：默認值爲30S，在CISCO設備中，RIP的默認AD值爲：120，RIP以跳數（經過的路由器的臺數作爲度量值），最大支持15跳，16跳代表該網絡不可達。
V1,只支持IPV4路由，有類路由協議，會根據IP地址的值，自動將網段歸納爲A,B,C類，在發送更新的時候，V1不攜帶子網掩碼，採用廣播的方式更新自己的路由表：廣播地址：255.255.255.255
V2,只支持IPV4路由，無類路由協議，不會根據IP地址的值，自動將網段歸納爲A,B,C類，在發送更新的時候，V2攜帶子網掩碼，採用組播更新的方式更新自己的路由表：組播地址：224.0.0.9
NG,支持IPV6路由

RIP的配置

1.啓動RIP進程：
在路由器的配置模式下：
router rip （在一臺CISCO設備上只能啓動一個RIP進程）
2.選擇RIP的版本：
在RIP路由進程下

version 2

3.關閉RIP的自動彙總功能：
在RIP的路由no auto-summary本路由器的直連網段宣告進RIP進程中:（只宣告本路由器的直連網段，非直連網段不用管）

network X.X.X.X(主網段號）

A.被宣告的網段纔會參與路由進程。
B.被宣告的網段所在的直連接口才會發送和接收路由協議的路由更新。
5.修改RIP路由協議的AD值：
在RIP進程下：distance #（自定義）（在動態路由協議下，修改AD值，會影響本路由器上由該路由協議生成的所有路由條目的AD值，沒有任何工具可以修改某一條動態路由協議下的明細路由）

OSPF

是鏈路狀態路由協議，OSPF組網規模的大小：500臺路由器，2萬條路由條目，OSPF在CISCO路由器中默認的管理距離爲：110，OSPF工作在IP層之上，協議號：89。OSPF採用組播更新的方式更新路由，組播地址：224.0.0.5和224.0.0.6。OSPF的度量值=參考帶寬（100M）/實際帶寬。OSPF採用觸發更新的方式更新路由表:(網絡中有鏈路通斷的時候，纔會發送相應的更新）

鏈路狀態路由協議都會維護三張表

1.鄰居表：（查看OSPF鄰居表的命令：show ip ospf neighbor）
鄰居表中的內容：
A.neighbor ID：鄰居路由器的OSPF RID值。
B.優先級：在廣播型鏈路上（以太網鏈路）選舉DR和BDR時的優先級，在P2P沒有該值。
C.鄰居狀態：本路由器與鄰居路由器形成什麼樣的鄰居關係。（OSPF路由器之間必須達到FULL的鄰居關係，才證明OSPF配置無誤，啓動成功）
D.存活時間：兩臺路由器之間KEEPALIVE的時間。
E.鄰居路由器與本路由器建立關係所用的接口的IP地址。
F.本路由器採用哪個端口號與鄰居路由器建立鄰居關係。

2.OSPF通過建立鄰居數據庫，從OSPF的鄰居路由器學到關於OSPF整網的拓撲圖：
查看OSPF數據庫的命令

show ip ospf database

OSPF的LSDB詳細的紀錄了整網的所有網段和網段到本路由器的metric值。

3.OSPF的路由表：查show ip route ospfSPF的路由表是每一臺OSPF路由器單獨的以自己爲根依據本路由器自己的OSPFLSDB表，算出的去往每一個網段的無環路徑樹，最終形成OSPF的路由表。

OSPF採用劃分區域的方式減少區域間網絡波動對其他區域造成的影響，以支持更大規模的網絡。

OSPF的多區域

1.任意一個OSPF進程中，都必需有區域0，區域0是OSPF的骨幹區域。
2.OSPF的區域是一個標準的兩層規劃，只能與區域0和非0區域，所有的非0區域，必需與區域0相連。
3.OSPF的區域是路由器端口的集合，與路由器本身無任何關聯。
4.兩臺直連路由器的直連端口必須在同一個區域。
5.所有非0區域間的互訪必須經過區域0。

OSPF路由器的分類

1.一臺路由器的所有端口都屬於區域0，這臺路由器叫做骨幹路由器。
2.一臺路由器至少一個端口屬於區域0，一個端口屬於非0區域，這臺路由器叫做區域邊界路由器（ABR）
3.一臺路由器至少一個端口屬於OSPF進程，一個端口屬於其他路由進程，這臺路由器叫做自治系統邊界路由器(ASBR)
4.一臺路由器的所有端口都屬於非0區域，這臺路由器叫做內部路由器。

OSPF的基本配置

1.啓動OSPF進程：
在配置模式下：router ospf #（進程號，自定義，在一個AS內，進程號不同的OSPF可以認爲是另一種路由協議）
2.設置路由器的RID：
在路由進程下

router-id X.X.X.X

（在一個OSPF進程中，唯一的標示一臺路由器的標誌，OSPF可以不配置RID,OSPF默認會自動決選出一個RID，決選規則：
1>.優選LOOPBACK接口;
2>.無LOOPBACK接口，在所有允許OSPF的端口上選擇最大的IP地址作爲RID）
3.宣告網段：
在路由進程下：

network X.X.X.X + 反掩碼 area （把相應的網段宣告進相應的OSPF區域中）

OSPF的啓動過程

Down->Init->2 way->Exstart->Exchange->Loading->Full
單向hello 雙向hello DBD LSR LSU LSACK
FULL代表兩臺路由器互相學完了對方所有的路由，達到了收斂的狀態。

強制下發默認路由

1.所有動態路由都具備的特徵。
2.邊界路由器上存在一條默認路由。
3.在動態路由協議的路由進程下：
輸入命令

default-information originate

4.強制下發默認路由的默認路由會沿着動態路由的路徑進行傳遞，在OSPF路由中，強制下發的默認路由metric值恆爲1。在RIP路由中，metric值會隨着路由路徑的增加而累加。
5.強制下發默認路由只能用在單路由域與外部互通的情況下，如果有多路由域需要互通的情況下，則不要使用該技術。

OSPF中有的時候會存在脫離骨幹區域的第三層區域：可以和他的邊界路由器達到FULL的鄰居關係，但是無法學到OSPF中其他區域的路由，也無法將本區域的路由傳遞給其他區域。

OSPF有特殊的手段可以解決脫離骨幹區域的第三層區域：虛鏈路。
在第三層區域和區域0之間的中間區域的兩臺邊界路由器上用命令：

area # （中間區域的區域號） virtual-link X.X.X.X （對端路由器的RID）

OSPF區域間的路由彙總

將OSPF非0區域內有規律的路由條目彙總後發給其他的區域，以減少其他區域內的路由條目數。
彙總的動作是在區域邊界路由器上完成動作：
命令

area # （區域號，非0區域）X.X.X.X + 子網掩碼 （手動彙總後的大網段）

彙總路由

1.在區域邊界路由器上仍舊會保留區域內的明細路由，但是會生成一條彙總路由，彙總路由的下一跳指向NULL 0，這種路由叫做黑洞路由。
2.彙總路由，會選擇所有明細路由中最小的metric值作爲自己的metric。
3.彙總路由存在的條件是至少存在一條被彙總的明細路由。
4.非本區域的其他區域路由器只能學到彙總後的路由，無法學到明細路由。
5.彙總路由一般只針對非0區域使用，不要對0區域使用路由彙總。

ACL

IP訪問控制列表：針對IP數據包所做的一種控制手段，是一種三層應用。

ACL只能對穿越本路由器的IP數據包進行過濾和控制，不能對源發自本路由器的數據進行過濾和控制。

ACL的作用

1.過濾和控制流經本路由器的數據包
2.標記出特殊的網段用來和其他的工具聯動以實現一些進階的操作，比如：route-map，traffic-behavior。

ACL條目的三個內容

1.ACL的條目號：access-list # （1-99，標準ACL，100-199，擴展的ACL）
2.動作：deny（拒絕數據包通過本路由器），permit （允許數據包通過本路由器)
3.內容：ACL需要檢查的內容（標準ACL和擴展ACL能檢查的能容有較大差距）
標準的ACL只檢查源地址：會拒絕或允許所有IP包中源地址匹配的數據包。
擴展的ACL檢查的內容：1.協議類型（可以是IP，也可以是IP的上層應用，傳輸層協議，例如：TCP,UDP）
2.源地址（IP包頭中的源地址）
3.源地址端口號（但是一般不用）
4.目的地址（IP包頭中的目的地址）
5.目的端口（用來標示傳輸層的上層協議是什麼協議，例如：FTP,TELNET等）

一個ACL條目中可以存在多個ACL的RULE，每一個RULE都是單獨執行的，不參考其他的RULE。

ACL在路由器上啓到過濾IP數據包的作用時，有in和out方向的區別。

in和out方向是針對路由器的端口設定的，要判斷ACL使用的方向是in還是out時候，要看從源地址到目的地址，數據流經時經過路由器的端口，是要進入本路由器，還是離開本路由器，進入是in方向，離開是out方向。

ACL在路由器端口下生效的時候，需要用命令

ip access-group # (ACL號）in/out 

調用，在一個端口的一個方向只能使用一個ACL，後配置的會覆蓋先配置的ACL。

IN方向的ACL：進入本路由器的數據包直接匹配端口下的ACL，匹配完成後再決定是否可以進入本路由器。
OUT方向的ACL：進入路由器的數據包會先匹配路由器的路由表，找到相應的轉發接口以後，再匹配轉發接口下的ACL，最終決定是否轉發該數據包。

在路由器中：ACL採用順序匹配的方式，按照ACL中RULE的條目編號從小到大進行匹配，如果有衝突的ACL則直接執行先匹配到的。
在一些老的包過濾防火牆中，使用深度匹配的機制：將數據包中的內容與每個RULE進行匹配，最終得出操作結果，如有衝突，執行拒絕優先。

一個ACL的末尾都有一個隱含的deny any的條件，如果不能與任何rule匹配的數據包，則會匹配deny any。
所有的ACL中至少應該有一個rule是permit的。

檢查ACL的命令

show access-list

（查看到本路由器上所有的ACL，以及這些ACL被命中的次數）

NAT

由於IPV4公網地址已經枯竭，爲了解決多個私網用戶複用一個或多個公網IP地址訪問Internet的問題，採用NAT技術解決此問題。NAT技術是在一臺路由器上完成的路由器內部映射的動作。

NAT術語：
1.內部本地地址：用戶本地內網所使用的私網IP地址
2.內部全局地址：用戶上外網時所使用的合法的公網IP地址。

靜態NAT

1.選出路由器上與用戶內網私網地址相連的端口，並在端口模式下，將該端口定義爲

ip nat inside

2.選出路由器上與外網相連的公網端口，並在端口模式下：將該端口定義爲

ip nat outside

3.在路由器上配置默認路由去往Internet。
4.形成靜態的NAT映射關係：

ip nat inside source static X.X.X.X （用戶內網的私網地址） Y.Y.Y.Y（公網地址，一定與IP NAT OUTSIDE 端口在同一個網段）

動態NAT

1.選出路由器上與用戶內網私網地址相連的端口，並在端口模式下，將該端口定義爲

ip nat inside

2.選出路由器上與外網相連的公網端口，並在端口模式下：將該端口定義爲

ip nat outside。

3.在路由器上配置默認路由去往Internet。
4.建立IP NAT地址池：

ip nat pool # (自定義）起始IP地址 （公網IP地址，與IP NAT OUTSIDE端口在同一個網段 netmask （子網掩碼，不要把兩端互聯的公網IP地址，加到IP NAT地址池中。）

5.用ACL定義出需要上外網的網段。

access-list ￥ （acl編號，一般採用標準ACL）permit（ACL與其他工具聯用的時候，動作一定是permit）

6.形成映射關係：

ip nat inside source list ￥（acl編號）pool #（地址池名稱）overload（複用公網IP地址） 

查看nat是否成功的命令：

show ip nat trans

可以看到內網地址和公網地址之間在路由器上形成的一一對應的映射關係。