華為RIP路由配置教程有哪些命令
路由器系統(tǒng)構成了基于TCP/IP 的國際互聯(lián)網(wǎng)絡Internet 的主體脈絡,也可以說,路由器構成了Internet的骨架。這篇文章主要介紹了華為RIP路由配置教程,需要的朋友可以參考下
一、RIP基礎配置
1、配置RIP進程
全局進程
[Huawei]rip 10
___下的RIP進程
[Huawei]rip ___-instance 1
RIP只在指定網(wǎng)段上的接口運行。對于不在指定網(wǎng)段上的接口,RIP既不在它上面接收和發(fā)送路由,也不將它的接口路由轉發(fā)出去。因此,RIP啟動后必須指定其工作網(wǎng)段。
2、配置RIP進程描述(可選)
[Huawei-rip-10]description test
3、禁止對RIP報文源地址檢查(可選)
[Huawei-rip-10]undo verify-source
缺省情況下,使能了對收到的RIP路由更新報文進行源IP地址的檢測,即檢查發(fā)送報文的接口IP跟接收報文的IP地址是否在同一網(wǎng)段。如果不同,則該RIP報文不被設備處理。
但當在P2P網(wǎng)絡中鏈路兩端的IP地址屬于不同網(wǎng)絡時,只有取消報文的源地址檢查,才能建立起正常的鄰居關系。
4、指定RIP生效的網(wǎng)段(即宣告網(wǎng)絡)。
[Huawei-rip-10]network 172.16.0.0
宣告時不帶子網(wǎng)掩碼,因為該地址必須是自然網(wǎng)段,不能是子網(wǎng)地址(與OSPF等不一樣),如果路由器連接了一個自然段的多個子網(wǎng),也只需用一條對應自然網(wǎng)段的命令使能RIP。一個接口只能與一個RIP進程相關聯(lián)。
5、指定RIP鄰居的IP地址(可選,僅用于NBMA網(wǎng)絡)
[Huawei-rip-10]peer 172.16.0.1
通常情況下,RIP使用廣播或組播地址發(fā)送報文。如果在不支持廣播或組播報文的鏈路上運行RIP,則必須在鏈路兩端手工相互指定RIP的鄰居,這樣報文就會以單播形式發(fā)送到對端。
通常情況下不推薦使用該命令,因為會造成對端同時收到同一報文的組播(或廣播)和單播兩種形式。因此在配置該命令時,通常使用silent-interface 命令將相關接口改為被動(silent)模式。
6、配置RIP版本號(可選)
全局版本
[Huawei-rip-10]version 2
接口下的版本號
[Huawei-GigabitEthernet0/0/2]rip version ?
1 RIP version 1 on interface
2 RIP version 2 on interface
接口版本與全局版本號不同時以接口版本號為準。
7、rip-2路由聚合配置
RIP-2是RIP version 2的簡稱,它與RIP-1的不同點在于,RIP-2支持可變長子網(wǎng)掩碼VLSM(Variable Length Subnet Mask)和無類別域間路由CIDR(Classless Inter-Domain Routing),并支持驗證功能,從而功能更加完善,安全性更高。
在RIP網(wǎng)絡規(guī)模很大時,RIP路由表會變得十分龐大,存儲路由表占用大量的設備內(nèi)存資源,傳輸和處理路由信息需要占用大量的網(wǎng)絡資源。
使用路由聚合可以大大減小路由表的規(guī)模;另外通過對路由進行聚合,隱藏一些具體的路由,可以減少路由震蕩對網(wǎng)絡帶來的影響。
RIP支持兩種聚合方式:自動路由聚合和手動路由聚合。自動聚合的路由優(yōu)先級低于手動指定聚合的路由優(yōu)先級。當需要將所有子網(wǎng)路由發(fā)布出去時,可關閉RIP-2的自動路由聚合功能。
缺省情況下,如果配置了水平分割或毒性反轉,有類聚合將失效。因此在向自然網(wǎng)段邊界外發(fā)送聚合路由時,相關視圖下的水平分割和毒性反轉功能都應關閉。
具體配置
7.1、配置RIPV2
[Huawei-rip-10]version 2
7.2、使能RIP有類自動路由聚合
[Huawei-rip-10]summary ?
always Route summarization always(總是、永遠、一直)
執(zhí)行命令summary always,不論水平分割和毒性反轉是否使能,都可以使能RIP-2自動路由聚合,不使用此參數(shù),則在配置水平分割或毒性反轉后,有類聚合功能將失效。
7.3、配置接口下的RIP聚合路由(手動聚合)
[Huawei-GigabitEthernet0/0/2]rip summary-address 172.16.0.0 255.255.255.0 ?
avoid-feedback Avoid learning this summary route
avoid-feedback,表示禁止從此接口學習到相同的聚合路由,以免形成路由環(huán)路。
8、配置RIPv2報文認證方式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256 hmac-sha256 authentication
md5 MD5 authentication
simple Simple authentication
可以配ripv2報文的認證方式來提高rip網(wǎng)絡的安全性。Ripv2支持對協(xié)議的認證分為簡單認證和MD5認證。
Ripv2報文認證需要在具體的rip路由器接口上配置(兩端密碼需一致)。
二、RIP高級功能配置
1、配置rip防止路由環(huán)路(水平分割)。
[Huawei-GigabitEthernet0/0/2]rip split-horizon
只能在路由接口下配置,如果接口配置了從IP地址且使能了水平分割功能,則rip報文可能不會從每一個從IP發(fā)送出去,除非禁水平分割功能。如果接口與NBMA網(wǎng)絡相連,缺省是水平分割功能被禁止。
2、配置rip防止路由環(huán)路(毒性反轉)。
[Huawei-GigabitEthernet0/0/1]rip poison-reverse
只能在路由接口下配置。同時配了水平分割和毒性反轉功能后,只有毒性反轉功能生效。
3、rip協(xié)議優(yōu)先級(可選)。
[Huawei-rip-10]preference 2
當多個路由協(xié)議發(fā)現(xiàn)目的地相同的路由時,通過配置RIP的協(xié)議優(yōu)先級來改變路由協(xié)議的優(yōu)先順序。
4、配置接口的附近度量值
4.1、配置接口接收RIP路由更新報文時要給對應路由增加的度量值(可選)。
[Huawei-GigabitEthernet0/0/2]rip metricout 5
[Huawei-GigabitEthernet0/0/2]rip metricout acl-name test 10(度量值)
是指在rip路由原來的度量值基礎上增加的度量值(跳數(shù))。通過調(diào)整rip接口的附加度量值來影響路由的選擇(值越小越優(yōu)先)
配置該功能后,當該接口收到一條路由時,rip將接口接收權值附加到該路由上,再加入路由表中。所以,增加一個接口的的接收rip權值,該接口收到的rip路由權值也會相應增加。
acl-name命令用于指定用于接收路由信息過濾的acl號(僅支持基本acl)或名稱或地址前綴(ip-prefix)列表名,用于對要接收的rip路由的目的IP地址過濾
4.2、配置接口發(fā)送RIP路由更新報文時要給對應路由增加的度量值(可選)
[Huawei-GigabitEthernet0/0/2]rip metricin ip-prefix test 1
rip metricin用于在接收到路由后,給其增加一個附加度量值,再加入路由表中,使得路由表中的度量值發(fā)生變化。運行該命令會影響到本地設備和其他設備的路由選擇。
rip metricout用于自身路由的發(fā)布,發(fā)布時增加一個附加的度量值,但路由表中的度量值不會發(fā)生變化。運行該命令不會影響本地設備的路由選擇,但是會影響其他設備的路由選擇。
5、配置進行負載分擔的最大等價路由條數(shù)(可選)
[Huawei-rip-10]maximum load-balancing 2
通過配置RIP最大等價路由條數(shù),可以調(diào)整進行負載分擔的路由數(shù)目。
6、配置當前設備生成一條缺省路由或?qū)⒙酚杀碇写嬖诘娜笔÷酚砂l(fā)送給鄰居路由器。(可選-即配置發(fā)布缺省路由)
[Huawei-rip-1]default-route originate ?
cost 指定缺省路由的度量值
match 當當前路由表存在缺省路由或其他路由協(xié)議時,則向鄰居發(fā)布該缺省路由
[avoid-learning] 當前路由中存在缺省路由時,則不引入其他缺省路由
route-policy Apply the specified route policy to filter route
在路由表中,缺省路由以到網(wǎng)絡0.0.0.0(掩碼也為0.0.0.0)的路由形式出現(xiàn)。當報文的目的地址不能與路由表的任何目的地址相匹配時,設備將選取缺省路由轉發(fā)該報文。
7、禁止接口發(fā)送更新報文
通過配置禁止接口發(fā)送更新報文,可以防止路由環(huán)路。
禁止接口發(fā)送更新報文有兩種實現(xiàn)方式:
在RIP進程下配置接口為抑制狀態(tài)
在接口視圖下禁止接口發(fā)送RIP報文
其中在RIP進程下配置接口為抑制狀態(tài)的優(yōu)先級要高于在接口視圖下禁止接口發(fā)送RIP報文。
7.1、在RIP進程視圖下配置
[Huawei-rip-1]silent-interface ?
GigabitEthernet GigabitEthernet interface #禁止一個接口發(fā)送更新報文
all All the interfaces
disable Override silent-interface configuration and make the interface active
該命令可以與peer ip-address命令協(xié)同使用,使抑制的接口仍可向指定的鄰居路由器發(fā)布路由
7.2、在接口視圖下配置
[Huawei-GigabitEthernet0/0/2]undo rip output
8、引入外部路由信息(可選)
8.1、配置引入路由的默認開銷(可選)
[Huawei-rip-1]default-cost 2
如果在引入路由時沒有指定度量值,則使用缺省度量值。
8.2、設置需要引入的外部路由
[Huawei-rip-1]import-route ?
bgp Border Gateway Protocol (BGP) routes
direct Direct routes
isis Intermediate System to Intermediate System (ISIS) routes
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User Network Route
[permit-ibgp] 指定公網(wǎng)實例下的rip進程可以引入IBGP路由
[Huawei-rip-2]import-route ospf ?
INTEGER<1-65535> Process ID # 引入路由的進程號 cost
Cost of the import route
route-policy Apply the specified route policy to filter route
RIP進程引入IBGP路由容易造成路由環(huán)路,請配置該功能前仔細確認。
8.3、在向外發(fā)布路由更新時對引入的路由信息進行過濾(可選)
[Huawei-rip-1]filter-policy ?
INTEGER<2000-2999> Apply basic ACL
acl-name Specify IP Access Control List (ACL) name for filtering routes
gateway Filter routes based on the distributing gateway
ip-prefix Specify IP prefix for filtering route
[Huawei-rip-1]filter-policy ip-prefix test ?
export Specify an export policy
gateway Filter routes based on the distributing gateway
import Specify an import policy
由于RIP要發(fā)布的路由信息中,有可能是引入的其他路由協(xié)議的路由信息,所以可通過指定protocol參數(shù)來對這些特定的路由信息進行過濾。如果沒有指定protocol參數(shù),則對所有要發(fā)布的路由信息進行過濾,包括引入的路由和本地RIP路由(相當于直連路由)。
RIP-2規(guī)定的Tag字段長度為16bits,其他路由協(xié)議的Tag字段長度為32bits。如果在引入其他路由協(xié)議時,應用的路由策略中使用Tag,則應確保Tag值不超過65535,否則將導致路由策略失效或者產(chǎn)生錯誤的匹配結果。
9、禁止接口接收rip報文
[Huawei-GigabitEthernet0/0/2]undo rip input
通過配置禁止接口接收更新報文,可以防止路由環(huán)路。
10、禁止接收主機路由
在某些特殊情況下,交換機會收到大量來自同一網(wǎng)段的RIP的32位主機路由,這些路由對于路由尋址沒有多少作用,卻占用了大量網(wǎng)絡資源。配置了禁止主機路由功能后,交換機能夠拒絕它所收到的主機路由。
[Huawei-rip-1]undo host-route
相關閱讀:路由器安全特性注意點
由于路由器是網(wǎng)絡中比較關鍵的設備,針對網(wǎng)絡存在的各種安全隱患,路由器必須具有如下的安全特性:
(1)可靠性與線路安全 可靠性要求是針對故障恢復和負載能力而提出來的。對于路由器來說,可靠性主要體現(xiàn)在接口故障和網(wǎng)絡流量增大兩種情況下,為此,備份是路由器不可或缺的手段之一。當主接口出現(xiàn)故障時,備份接口自動投入工作,保證網(wǎng)絡的正常運行。當網(wǎng)絡流量增大時,備份接口又可承當負載分擔的任務。
(2)身份認證路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。
(3)訪問控制對于路由器的訪問控制,需要進行口令的分級保護。有基于IP地址的訪問控制和基于用戶的訪問控制。
(4)信息隱藏與對端通信時,不一定需要用真實身份進行通信。通過地址轉換,可以做到隱藏網(wǎng)內(nèi)地址,只以公共地址的方式訪問外部網(wǎng)絡。除了由內(nèi)部網(wǎng)絡首先發(fā)起的連接,網(wǎng)外用戶不能通過地址轉換直接訪問網(wǎng)內(nèi)資源。
(5)數(shù)據(jù)加密
為了避免因為數(shù)據(jù)竊聽而造成的信息泄漏,有必要對所傳輸?shù)男畔⑦M行加密,只有與之通信的對端才能對此密文進行解密。通過對路由器所發(fā)送的報文進行加密,即使在Internet上進行傳輸,也能保證數(shù)據(jù)的私有性、完整性以及報文內(nèi)容的真實性。
(6)攻擊探測和防范
路由器作為一個內(nèi)部網(wǎng)絡對外的接口設備,是攻擊者進入內(nèi)部網(wǎng)絡的第一個目標。如果路由器不提供攻擊檢測和防范,則也是攻擊者進入內(nèi)部網(wǎng)絡的一個橋梁。在路由器上提供攻擊檢測,可以防止一部分的攻擊。
華為RIP路由配置教程有哪些命令相關文章:
4.華為路由器設置