1、第四章第四章 企業級路由技術企業級路由技術童敏童敏本章要求 了解所有路由協議原理 了解路由環路及解決方法 熟練配置靜態路由 熟練配置動態路由本章內容 4.1 靜態路由 4.2 距離矢量路由協議 4.3 鏈路狀態路由協議管理企業網絡路由器負責轉發網絡流量，并可防止廣播流量進入主通道從而妨礙關鍵服務的傳輸。它們控制局域網之間的網絡流量，只允許符合要求的流量在網絡間傳遞。企業網絡提供高水平的可靠性和服務。為此，網絡專家需要：設計網絡時提供冗余鏈接，以備主要數據通路出現故障之需。部署 QoS（服務質量）以保證關鍵數據得到優先處理。過濾數據包，拒絕特定類型的數據包，以最大限度的利用網絡帶寬并保護網絡免受

2、攻擊。路由表 企業網絡的物理拓撲為數據轉發提供了架構，而路由則提供了實現機制。在企業網絡中，尋找通往目的主機的最佳路徑變得十分困難，因為路由器有很多用以建立路由表的信息來源。 路由表是保存在 RAM 中的數據文件，其中存儲了與該路由器直接相連的網絡以及遠程網絡的相關信息。路由表通過送出接口或下一跳與每個網絡關聯。 路由器使用送出接口來把數據發送至離目的地更接近的位置。而下一跳則是相連路由器上的一個接口，同樣用來把數據發送至離最終目的地更接近的位置。 此外，路由表也為每個路由分配一個數字，代表該路由信息來源的可信度或準確性。這個數值稱為管理距離。路由器維護著直接相連路由、靜態路由以及動態路由的信

3、息。路由表靜態路由與動態路由直接連接的路由 直接連接的網絡通過路由器接口相連。接口配置了 IP 地址和子網掩碼之后，即可成為所在網絡上的主機。接口的網絡地址和子網掩碼連同接口類型和編號都將輸入路由表，用于表示直接連接的網絡。路由表用 C 來表示直接連接的網絡。靜態路由 靜態路由是網絡管理員手動配置的。靜態路由包括目的網絡的網絡地址和子網掩碼，以及送出接口或下一跳路由器的 IP 地址。路由表用 S 表示靜態路由。靜態路由比動態了解到的路由更加穩定和可靠，因此其管理距離也比動態路由的管理距離要小。靜態路由與動態路由動態路由 動態路由協議也可將遠程網絡添加至路由表中。動態路由協議可通過網絡發現使路由

4、器彼此間共享遠程網絡的可達性和狀態信息。為此，每個協議在確定其它路由器位置以及更新和維護路由表的時候會發送和接收數據包。此外，通過動態路由協議獲知的路由用相應協議來標識。例如，用 R 代表 RIP 協議，用 D 代表 EIGRP 協議。它們都分配了協議的管理距離。配置靜態路由 配置大多數靜態路由的全局命令是 ip route， 后接目的網絡地址、子網掩碼和所需路徑。命令為： Router(config)#ip route network-address subnet mask address of next hop OR exit interface 使用下一跳地址或送出接口將數據轉發至合適的

5、目的地址。但是，這兩個參數的行為截然不同。 在路由器轉發任何數據包之前，路由表進程將首先決定使用哪個送出接口。通過送出接口參數配置的靜態路由只需查詢一次路由表。而通過下一跳參數配置的靜態路由則必須參考兩次路由表才能決定送出接口。 在企業網絡中，通過送出接口配置的靜態路由適用于點對點的連接，比如邊界路由器和 ISP 之間的連接。 配置靜態路由配置靜態路由 通過下一跳接口配置的靜態路由需要兩個步驟來決定送出接口。這稱為遞歸查找。在遞歸查找中： 路由器首先將數據包的目的 IP 地址與靜態路由相匹配。 然后將靜態路由的下一跳 IP 地址與路由表中的條目相匹配，以決定使用那個接口。 如果送出接口被禁用，

6、則與之相關的靜態路由會從路由表上消失。當該接口重新啟用時，路由表會重新添加這些路由。 配置靜態路由 將幾個靜態路由總結成一個條目可以減少路由表的大小并使查找過程更有效率。這個方法稱為路由總結。 將多個靜態路由總結成一個靜態路由需要以下條件： 多個目的網絡可總結為一個網絡地址。 所有的靜態路由使用相同的送出接口或下一跳 IP 地址。 如果沒有路由總結，Internet 核心路由器上的路由表將變得難以管理。這對企業網絡來講也是如此。所以，總結靜態路由是維護路由表大小的必不可少的解決方案。默認路由 路由表無法保存通往所有 Internet 站點的路由。隨著路由表不斷變大，它們需要更多的 RAM 和更

7、強的處理能力。為此，出現了一種特殊類型的靜態路由，即默認路由，當路由表不包含目的地址的路徑時，它指定了一個網關以供使用。默認路由通常指向通往 ISP 路徑中的下一臺路由器。在復雜的企業網絡環境中，默認路由將 Internet 流量從網絡中導出。 建立默認路由的命令與建立常規或浮動靜態路由的命令相似。默認路由的網絡地址和子網掩碼都設置為 ，因此又叫做全零路由。該命令也使用下一跳地址或送出接口參數。 這些零指示路由器無需匹配任何位即可使用此路由。因此，只要沒有可匹配的路由，路由器就使用默認靜態路由。 位于邊界路由器上的最終默認路由將流量發送到 ISP。對于未與其它路由匹配的數據包，該路由指明了它們

8、在企業內部網的最后一站，并稱之為最后選用網關。此信息將顯示在所有路由器的路由表中。默認路由距離矢量路由協議 動態路由協議主要分為兩類：距離矢量協議和鏈路狀態協議。 采用距離矢量路由協議的路由器可以與直接連接的鄰居路由器共享網絡信息。然后，這些路由器又把信息傳遞給它們的鄰居，直到企業的所有路由器都獲知此信息。 采用距離矢量協議的路由器并不知道通往目的地址的全部路徑；它只知道通往遠程網絡的距離和方向，亦即矢量。而這些信息來自于與它直接相連的鄰居。 像所有的路由協議一樣，距離矢量協議使用度量決定最佳路由。而其計算最佳路由的方法正是基于路由器到網絡的距離。跳數是一種常用的典型度量，它表示從一個特定路由

9、器到目的網絡之間需經過的路由器數量。距離矢量路由協議 RIP 版本 1 和 2 是純粹的距離矢量協議， EIGRP 實際上則是帶有一些高級功能的距離矢量協議。而 RIPng 作為 RIP 協議的最新版本，是專為支持 IPv6 而設計。在互聯網早期，RIPv1 是最早且唯一的 IP 路由協議。RIPv1 在路由更新時不發送子網掩碼信息，因此不支持 VLSM 和 CIDR。RIPv1 自動在有類邊界總結網絡， 將所有網絡視為默認的 A 類 、B 類 和 C 類。只要網絡是連續的， 比如 、等，該功能就不會出現嚴重問題。然而，如果網絡是不連續的，比如網絡 和 被網絡 分隔開來，那么 RIPv1 便有

10、可能不能正確報告路由。默認情況下，RIPv1 每隔 30 秒便向所有相連的路由器廣播一次路由更新信息。RIP v2 具有很多 RIPv1 的功能， 同時還包括一些重要的改進。RIPv2 是無類路由協議，因此支持 VLSM 和 CIDR。RIPv2 包含子網掩碼字段，因此它支持非連續的網絡。此外，RIPv2 也提供關閉自動總結路由的功能。RIP 的兩個版本都會在更新信息中將整個路由表發送給所有參與該協議的端口。RIP v1 將這些更新廣播至 。這就要求廣播網絡（如以太網）的所有設備處理這些數據。而 RIP v2 則將其更新組播至 。由此可見，組播比廣播占用更少的帶寬，因為沒有配置 RIPv2 的

11、設備會在數據鏈路層就將組播數據分組丟棄RIP V2 支持身份驗證，有更好的安全性 盡管 RIPv2 做出了很多改進，但它并不是一種全新的協議。RIPv2 具有很多與 RIPv1 相同的功能， 比如： 跳數度量 跳數的最大值為 15 TTL 值為 16 跳 默認的更新間隔為 30秒 通過路由毒化、毒性反轉、水平分割和抑制來避免路由環路 使用 UDP 端口 520 來更新 管理距離為 120 如果不使用身份驗證，則消息報頭最多可包含 25 條路由 當路由器啟動時，每個配置為使用 RIP 的接口都會發送請求消息。該消息請求所有的 RIP 鄰居發送各自完整的路由表。啟用了 RIP 的鄰居就會發送響應消

12、息。收到響應后，路由器會按以下標準更新路由條目： 如果路由條目是新的，則接收路由器將把該條目加入路由表中。 如果此路由已存在于路由表，但新的路由條目具有不同的來源，并且該條目具有更低的跳數，則路由表將用新的條目替換已存在的條目。 如果此路由已存在于路由表，并且兩個條目的來源相同，則路由表將用新的條目替換已存在的條目，盡管兩者的度量值一樣。 隨后，啟動路由器將把包含其路由表的觸發更新發送給所有啟用了 RIP 的接口。這樣，RIP 鄰居就獲悉了所有新的路由。路由環路路由環路路由環路環路解決方案 運行 RIP 的網絡需要一定的收斂時間。一些路由器可能在路由表里保存著錯誤的路由，直到所有的路由器都已更

13、新并具有相同的網絡視圖。 錯誤的網絡信息可導致路由更新和流量在計數至無窮時無休止的循環。在 RIP 路由協議中，當跳數為 16 時，即視為無窮。 路由環路對網絡性能有消極影響。RIP 含有幾種專為消除這種不良影響的功能，這些功能通常結合使用： 毒性反轉 指明網絡無法到達 水平分割 防止信息從收到該信息的路由接口送出 抑制計時器 在特定時間內不通高路由也不接收路由 觸發更新 在路由器啟動時發送給鄰居 毒性反轉將路由的度量設為 16，使其不可達。這是因為 RIP 將無窮定義為 16 跳，即任何度量超過 15 跳的網絡都是不可達的。如果一個網絡出現故障，路由器將把通往該網絡的路由度量設為 16，這樣

14、所有其他的路由器便將其視為不可達。該功能可阻止路由協議通過毒化的路由發送信息的配置在配置 RIPv2 之前，首先將 IP 地址和子網掩碼分配給參與路由的所有接口。然后，在合適的串行鏈路上設置時鐘頻率。在這些基本配置完成后，即可配置 RIPv2。基本的 RIPv2 配置包含以下三條命令：啟用路由協議Router(config)#router rip指定協議版本Router(config)#version 2標識應由 RIP 通告的每個直連網絡Router(config-router)#network network address默認情況下，RIPv2 會總結將通告給其有類邊界的每個網絡，如圖所

15、示。RIPv2 更新可以配置為需要驗證。RIPv2 可在路由更新中向鄰居傳播默認路由。為此，需創建默認路由并在 RIP 配置中添加 redistribute static 命令。的配置的查看測試 RIPv2 協議很容易配置。但是，任何網絡都會發生錯誤和不一致性。有許多 show 命令可以協助技術人員檢驗 RIP 配置并對其功能進行故障排查。 show ip protocols 和 show ip route 命令對于任何路由協議的檢驗和故障排查都尤為重要。 以下命令專門用于對 RIP 檢驗和故障排查： show ip rip database:列出 RIP 知道的所有路由 debug ip r

16、ip or debug ip rip events:顯示實時發送和接收的 RIP 路由更新 除非必要，否則請不要使用 debug 命令。因為調試過程消耗帶寬和處理能力，這將使網絡性能降低。 ping 命令用來測試端到端的連接。而 show running-config 命令則為檢查所輸命令是否正確提供了簡便方法。的查看測試 EIGRP 的兩個主要目標是提供無環路由環境和快速的網絡收斂。為實現這些目標，EIGRP 使用與 RIP 不同的方法來計算最佳路由。其采用的度量是一種主要考慮帶寬和延遲的 復合度量。在確定目的網絡的距離方面，這種度量比跳數更加準確。 EIGRP 所采用的 DUAL（擴散更新

17、算法）可確保在計算路由時不會產生環路。而當網絡拓撲發生變化時，DUAL 可以同時同步所有涉及的路由器。基于這些原因，EIGRP 的管理距離是 90，而 RIP 的管理距離是 120。更低的數值反映了 EIGRP 更高的可靠性和度量準確性。如果一個路由器既可從 RIP 也可從 EIGRP 獲知同一個目的網絡的路由，那么它會在兩者中選擇后者。 EIGRP 將從其它路由協議獲知的路由標記為外部。由于用以計算這些路由的信息在可靠性方面不如 EIGRP 的度量，因此這些路由具有更大的管理距離 對于主要由 Cisco 路由器組成的復雜企業網絡來說，EIGRP 是一個不錯的選擇。它的最大跳數為 255，足以

18、支持大型網絡。EIGRP 可顯示多張路由表，這是因為它可以收集和維護多種路由協議（如 IP 和 IPX）的路由信息。此外，EIGRP 路由表不僅可以報告從本地系統內部獲知的路由，還可報告從系統外部獲知的路由。 與其它距離矢量協議不同的是，EIGRP 在更新時并不發送完整的路由表。EIGRP 只將關于特定更改的局部更新組播給需要此信息的路由器，而不是區域內所有的路由器。由于這些更新反映了特定的參數，因此稱為限定更新。 EIGRP 發送小的 hello 數據包而不是定期的路由更新來維護鄰居信息的一致性。由于限定更新和 hello 包的大小十分有限，因而節省了帶寬并保證了網絡信息的及時有效。度量值E

19、IGRP 使用復合度量值以決定到達目的網絡的最佳路徑。該度量由以下值決定：帶寬延遲可靠性負載最大傳輸單位 (MTU) 是包含在路由更新中的另一個值，但并不是路由度量。復合度量公式包含多個 K 值：從 K1 到 K5。默認情況下，K1 和 K3 設置為 1。K2、K4 和 K5 設置為 0。帶寬和延遲的值都為 1，這表明在復合度量計算中，它們具有相同的權重。帶寬帶寬度量是一個靜態數值,單位是 kbps。大多數串行接口使用的默認帶寬值為 1544 kbps。此度量值表明這是一個 T1 連接的帶寬。然而有些時候，帶寬值可能并沒有正確反映接口的實際物理帶寬。帶寬影響度量的計算進而影響了 EIGRP 路

20、徑的選擇。 的配置 基本 EIGRP 相對容易配置。它與 RIPv2 有很多相似之處。 要開始 EIGRP 路由進程，請完成如下兩個步驟： 步驟 1： 啟動 EIGRP 路由進程。 該過程需要自治系統參數。AS（自治系統）參數可以是任何 16 位二進制數值，標識所有屬于同一公司或組織的路由器。盡管 EIGRP 將此參數視為自治系統號，但它實際上用作進程 ID。該 AS 編號的意義只局限于本地網絡，不同于由 Internet 號碼分配機構 (IANA) 發布和控制的自治系統號。 EIGRP 路由進程內所有路由器在命令中使用的 AS 編號必須匹配。 步驟 2： 為每個要通告的網絡輸入 networ

21、k 命令。 network 命令告訴 EIGRP 有哪些網絡和接口參與了 EIGRP 進程。的配置的配置加密EIGRP 一旦啟動，任何配置了 EIGRP 并具有正確自治系統號的路由器便可進入 EIGRP 網絡。這表示，如果路由器帶有不同或相沖突的路由信息，可能會影響路由表甚至導致其損壞。為避免其發生，有必要在 EIGRP 配置內啟動身份驗證。配置了鄰居的身份驗證之后，路由器就會在接收所有的路由更新來源之前驗證其身份。EIGRP 身份驗證需要使用預共享密鑰。EIGRP 的管理員可通過密鑰鏈來管理密鑰。EIGRP 的身份驗證配置包含兩個步驟：創建密鑰和激活身份驗證以使用密鑰。創建密鑰要創建密鑰，需

22、輸入以下命令：key chain name-of-chain全局配置命令規定密鑰鏈名稱并進入密鑰鏈配置模式。key key-id標識密鑰號碼并進入密鑰號碼的配置模式key-string text標識密鑰字符串或密碼。為要求所有的 EIGRP 路由器都匹配此值，必須配置此命令。身份驗證 激活身份驗證 要使用密鑰來激活 EIGRP 的 MD5 身份驗證，需要以下接口配置命令： ip authentication mode eigrp md5 EIGRP 數據包的交換要求進行 MD5 身份驗證 ip authentication key-chain eigrp AS name-of-chain AS

23、 指定了 EIGRP 配置的自治系統 Name-of-chain 參數指定了先前配置的密鑰鏈。加密配置查看 盡管 EIGRP 是一種相對容易配置的協議，但它卻采用復雜的技術來克服距離矢量路由協議的局限性。為了正確地驗證網絡配置并對其進行故障排除，理解這些技術是很重要的。一些可用的驗證命令包括： show ip protocols 檢查 EIGRP 是否通告了正確的網絡。顯示自治系統編號和管理距離 show ip route 檢查 EIGRP 路由是否存在于路由表中。 使用 D 或 D EX 標識 EIGRP 路由 內部路由具有默認的管理距離 90 show ip eigrp neighbors

24、 details 檢驗 EIGRP 形成的相鄰關系 顯示 IP 地址和鄰居路由器的接口查看 show ip eigrp topology 顯示后繼和所有可行后繼 顯示可行距離和報告距離 show ip eigrp interfaces details 檢查使用 EIGRP 的接口 show ip eigrp traffic 顯示發送和接收的 EIGRP 數據包的數量和類型 這些 show 命令的一個主要用途是確保 EIGRP 鄰接關系得以正確形成以及路由器間的 EIGRP 數據包得以成功交換。如果沒有形成鄰接關系，則 EIGRP 便不能工作。因此，在實施其它故障排除手段之前，應首先檢查鄰接關系

25、。鏈路狀態協議 鏈路狀態協議以其良好的分層設計和足以支持大型網絡的可擴展性廣泛應用于企業網絡中并博得眾多 ISP 的青睞。距離矢量協議通常并不適合用在復雜的企業網絡中。 開放最短路徑優先 (OSPF) 協議是一種鏈路狀態路由協議。OSPF 是由 Internet 工程任務組 (IETF) 開發的、用于支持 IP 通信的開放式標準路由協議。 OSPF 是一種無類內部網關協議 (IGP)。該協議將網絡劃分為若干不同的部分，也叫做區域。這種劃分可以提高網絡的可擴展性。通過將網絡劃分為多個網絡區域，網絡管理員可以有選擇性地啟用路由總結并將出現的路由問題隔離到某個區域中。 鏈路狀態路由協議（如 OSPF

26、）并不會頻繁、定期地發送整個路由表的更新信息。網絡完全收斂之后，鏈路狀態協議將只在拓撲發生更改（例如鏈路斷開）時才發送更新信息。其它情況下，OSPF 每 30 分鐘執行一次完全更新。OSPF 之類的鏈路狀態協議非常適合更龐大的分層網絡，因為在分層網絡中，網絡的快速收斂能力非常重要。與距離矢量協議相比較，鏈路狀態路由協議具有以下特性：需要更復雜的網絡規劃和配置需要占用更多的路由器資源需要占用更多的內存來存儲多個表需要占用更多的 CPU 和處理資源來完成復雜的路由計算不過，如今，市面上的路由器性能很高，因此上述要求通常都不是問題。 配置基本 OSPF 并不難，只需兩個步驟。第一步是啟用 OSPF

27、路由過程。第二步是確定要通告的網絡。 步驟 1：啟用 OSPF router(config)#router ospf 進程 ID 由管理員選擇，其編號范圍為 1 到 65535。進程 ID 只在本地使用，不必與其它 OSPF 路由器的 ID 相匹配。 步驟 2：通告網絡 Router(config-router)#network area 此 network 命令與其它 IGP 路由協議中的 network 命令功能相同，可確定要啟用哪些接口來收發 OSPF 數據包。該語句確定 OSPF 路由更新中要包含哪些網絡。 OSPF network 命令結合使用了網絡地址和通配符掩碼。網絡地址和通配符掩碼共同指定要啟用的 OSPF 接口地址（或地址范圍）。 區域 ID 確定網絡屬于哪個 OSPF 區域。即使未指定任何區域，也總會存在區域 0。在單區域 OSPF 環境中，唯一的區域便