网络安全基础--第九天

动态路由：

所有路由器上运行同一种动态路由协议，之后通过路由器协商沟通，最终计算生成 路由条目。

静态路由的优点：

1.选路是由管理员选择，相对更好控制，更加合理

2.无需占用额外资源

3.更加安全

缺点：

1.如果网络比较复杂，配置量比较大 2.所以当网络结构发生改变时，静态路由不能基于拓扑的变化而变化，这个过程叫做收敛：静 态路由无法根据拓扑的变化而自动收敛

动态路由的优点:

1.部署简单，只需要在每一台路由器上执行相同的路由协议即可

2.可以基于拓扑的变化而自动收敛

缺点：

1.路径由单一算法计算得出，不一定是最优解，可能出现不合理的情况，甚至出现环路

2.会额外占用路由器的硬件资源以及物理链路带宽资源

3.所以比较容易被利用，产生安全问题

总结：

1.静态路由适合小型简单的路由环境

2.动态路由适合较为复杂的中大型网络环境

AS---自治系统---将网络分块管理---由单一的机构或组织所管理的一系列IP网络以及设备构 成的集合

AS范围：没有规定限制---可以为一个独立机构或企业所管理的网络

AS管理：AS号是编号，由16位二进制组成2的16次方（0-65535）拓展版本32位二进制

运行在AS内部的协议：IGP协议（内部网关协议）---RIP、ospf、IS-IS、EIGRP

运行在AS之间的协议：EGP协议（外部网关协议）---BGP

IGP 协议根据算法可以进行分类

距离矢量型协议DV：RIP

原理：路由器之间直接发送路由条目信息，使用的算法是bellman-ford贝尔曼福特算法

链路状态型协议LS：OSPF、IS-IS

原理：发送自身的链路信息LSA，链路状态通告，每个路由器收敛完成之后根据算法计算出到 达各网段的路由条目，使用的算法SPF算法（最短路径优先算法）将图形结构先转化为树形结 构。之后计算到达未知网段的路由信息。

RIP协议

是典型的距离矢量型协议，路由器之间通过直接传递路由条目信息获取路由信息

具备通信条件，但只能通过广播形式发送，这样的关系称为邻居关系

只携带目标网段信息，另一个是度量值（Metric）

cost开销值，你到达目的地所花费的代价，不同路由协议开销值的度量是不一样的，所以，度 量值仅作为同一种协议选路使用，相同协议比较度量值，不同协议间比较优先级

RIP以跳数（经过路由设备的个数）作为开销值，RIP的默认优先级为100 RIP以跳数作为开销值并不合理，条数少并不一定优

当上下两条路COST值相同，则RIP也支持等开销负载均衡

RIP的工作半径：最大跳数为15跳

bellman-ford贝尔曼福特算法

1.R2发送2.0/24网段的路由信息给R1，但是R1的路由表中没有该路由信息，则R1会将2.0网段的 路由信息刷新到本地的路由表中 谁发的，下一跳写谁，哪个口收到，出接口写谁

2.R2发送2.0/24网段的路由信息给R1，但是R1的路由表中存在该路由信息，且下一跳就是R2， 则将新的这条路由信息刷新到路由表中

3.R2发送2.0/24网段的路由信息给R1，但是R1的路由表中存在该路由信息，且下一跳不是R2， 则比较开销值，若原本的这条开销值大于R2发来的这条，则将R2发来的刷新到路由表中。

4.R2发送2.0/24网段的路由信息给R1，但是R1的路由表中存在该路由信息，且下一跳不是R2， 则比较开销值，若原本的这条开销值小于R2发来的这条，则不会刷新路由条目。

RIP的版本

RIPV1、RIPV2和RIPNG版

V1和V2的区别

1.V1是有类别的路由协议，V2是无类别的路由协议

2.V1不支持手工认证，V2支持手工认证 增加口令，防止欺骗类攻击，提高安全性

3.V1采用广播发送信息，V2采用组播方式发送信息

RIP是基于UDP520端口传输的，SD端口号都是520.RIPNG基于521

V1：

UDP：SPORT：520，DPORT：520

SIP：12.0.0.2

DIP：255.255.255.255

SMAC：G0/0/0

DMAC：全F

V2：

UDP：SPORT：520，DPORT：520

SIP：12.0.0.2

DIP：224.0.0.9（特定的组播地址，是V2的默认组播地址）

SMAC：G0/0/0

DMAC：01-00-5e-00-00-09

RIP的更新机制

request请求包，response响应包

RIP在收集齐路由信息后便称收敛完成，但是，收敛完成后，RIP依旧每隔30S发送response包我 们称这种行为为周期更新，也叫做更新包

采用周期更新的原因：

1.补偿确认机制的缺失

2.补偿保活机制的缺失

RIP的周期更新是异步更新

RIP的定时器

三种定时器

更新定时器---30S，周期更新，有+-5S的误差

失效定时器---180S，180S时间一到，会将路由信息从本地的路由表中删除，依然将该路由信息 保留在缓存中，并且在之后的周期更新中，携带该路由，这条路由的开销值会被置为16，这种 传输叫做带毒传输。若期间路由刷新则定时器刷新

垃圾收集定时器---120S，当一条路由信息失效后，将启动该计时器，在计时器归0前，将继续 周期更新携带，起到带毒传输的作用。时间归0后，将彻底删除该路由信息。期间路由刷新则 重置无效失效定时器。

RIP的破环机制

1.可以靠15跳的工作半径来解决，效率太低，占用资源较多

2.触发更新，当拓扑结构发生变化时，第一时间将该信息传递出去，成环路的根本问题是要等 周期时间。

3.水平分割，从哪个接口学来的路由将不再从这个接口发出去

4.毒性逆转，从哪个接口学来的路由信息依然可以从这个接口发出去，但是带毒 注意：华为的设备默认开启水平分割，若同时开启，按毒性逆转执行

RIP的配置

1.[Huawei]rip 1启动RIP协议进程

1是本地进程号，仅具有本地意义1-65535

2.[Huawei-rip-1]version 2选择RIP版本

[Huawei-rip-1]undo summary 手动关闭手工汇总，默认是关闭的

3.[Huawei-rip-1]network 1.0.0.0宣告网段，要求：1.宣告所有直连网段2.只能按主类宣告

宣告的作用：

1.激活接口，只有被激活的接口才具有收发RIP数据的能力，PC没有RIP功能，内网PC可以冒充 路由器发虚假的RIP信息

2.发布路由：只有激活接口对应的直连网段路由信息才能发布，只能使用沉默接口解决。

拓展配置

1.V2的手工认证 [Huawei-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456

[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual（标准格式） cipher 123456 [Huawei]dis rip 1 route 查看RIP的路由表

2.RIPV2的手工汇总

[Huawei-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.254.0

Huawei]ip route-static 192.168.0.0 23 NULL 0

3.RIP的被动接口（沉默接口）

如果将一个接口配置称为沉默接口，则这个接口将只收不发路由信息，适合应用在连接用户的 网段接口上。

[Huawei-rip-1]silent-interface g0/0/0

4.RIP的加快收敛，减少计时器时间

[Huawei-rip-1]timers rip 30 180 120不能修改倍数关系

5.RIP的缺省路由

在边界路由器上配，作为缺省源头，内网其他路由器将会自动生成一条指向它的缺省路由， [Huawei-rip-1]default-route originate