网络安全:路由技术

概述
路由技术到底研究什么内容
研究路由器寻找最佳路径的过程
路由器根据最佳路径转发数据包
知识点,重要OSRF,BGP

1.静态路由原理

路由技术分类
静态路由和动态路由技术
静态路由:是第一代路由技术,由网络管理员手工静态写路由/路径告知路由器数据包转发哪个接口/下一跳,比较适合小型网络

image

静态路由实验

语法
ip route 目标网段+目标掩码+出接口
R1-- ip route 192.168.2.1 255.255.255.0 f0/0 
常用show 命令:
show ip interface brief  查看接口ip地址
show running-config interface f0/0 查看接口配置
show running-config | include ip route 查看静态路由配置
shwo ip route 查看路由表
show ip route static 查看静态路由
实验过程
静态路由配置
1.配置R1/2创建环回接口loopback,用于模拟主机
interface loopback 1
ip add 192.1.1 255.255.255.0
2.查看路由表
show ip route
3.新建静态路由
ip route 目标网段+子网掩码+接口
R1:ip route 192.168.2.0 255.255.255.0 f0/0
R2:ip route 192.168.1.0 255.255.255.0 f0/0
4.测试连通性
R1:ping 192.168.2.1 source 192.168.1.1
R2:ping 192.168.1.1 source 192.168.2.1

默认路由

原理

1.默认路由一般能用于网络(企业,校园)出口,用于指向互联网,实现内网主机能够和外网通信
2.默认路由一般放在路由表的最底部,只有当常规精准的路由条目没有匹配时,才会查看默认路由
3.电脑上的默认路由

实验1:默认路由的连通

R1:
conf t
int f0/0
ip add 12.1.1.1 255.255.255.0
no sh
R2:
conf t 
int f0/0
ip add 12.1.1.2 255.255.255.0
no sh
int lo1
ip add 2.2.2.2 255.255.255.255
int lo2
ip add 22.2.2.2 255.255.255.255
int lo3
ip add 22.22.2.2 255.255.255.255
int lo4
ip add 8.8.8.8 255.255.255.255
int lo5
ip add 8.8.4.4 255.255.255.255在R1中
ip route 0.0.0.0 0.0.0.0 f0/0
或者
ip route 0.0.0.0 0.0.0.0 12.1.1.2

image

注意:默认路由不能相互指定(只能单向),否则容易造成“环路

实验2:浮动路由的连通

优先级/管理距离 0-255越小越优先debug ip icmp 调试icmp协议
debug ip packet 调试ip协议
undebug all 关闭所有调试在R3 中添加
ip add 8.8.8.8 255.255.255.255
ip add 8.8.4.4 255.255.255.255在R2 和R3中打开debug 
debug ip icmp
debug ip packet在R1中把f0/0网线断掉
shutdown 
此时看到 路由切换到f1/0
ping 8.8.8.8
可看到R3有流量传输

image

静态路由进阶

实验流程
1.配置ip地址,保证连通性
2.配置静态路由,保证R1/2/3连通
3.配置默认路由,保证R4接收到数据包
问答,当R1访问R3,ip数据包头部经过R2时,数据包内容有哪些变化
答:源目ip地址不变,源目mac跟随地址逐渐改变,ttl逐跳递减,校验和也随着改变
代理arp
ip route 23.1.1.0 255.255.255.0 f0/0
ping 23.1.1.3 发送arp请求 who is 23.1.1.3 和谁通信就问谁ip route 23.1.1.0 255.255.255.0 12.1.1.2
ping 23.1.1.3 发送arp请求 who is 23.1.1.3  无论和谁通信,就问下一跳,节省资源,速度快清除arp表:关闭物理接口 clear arp 开启物理接口 清除比较干净

代理ARP不同路由实现方法

定义:Proxy-arp 当实现跨网段的的请求时,路由器将本地MAC返回给ARP询问者,实现MAC地址代理,最终使得主机能够通信电脑一般都是以下一跳的ip地址来默写网关,
开启或关闭代理
int f0/0
ip proxy-arp
no ip proxy-arp

局域网环境下为了防止中间路由器设备关闭代理ARP,最好用下一跳的方式来编写静态默认路由

当路由器主机路由条目指向出接口时,触发了代理ARP

image

当路由器指向下一跳ip地址,则采用正常的常规的ARP
 

image


注意点R1和R3别忘记加入下面的

image

image

image

路由协议概述

动态路由和静态路由协议

1.管理层面
静态路由比较容易修改和部署,动态路由协议一般路由的体积面积比较大,管理相对比较复杂
2.技术层面,动态路由协议比较能够适应个中网络结构拓扑,能够智能感应到网络状态,静态路由无法实现,需要人工干预

动态路由协议分类

算法特征
距离矢量:RIP/EIGRP/BGP
链路状态 OSRF,ISIS
运行范围 IGP,EGP有类、无类
有类:ip子网只能识别8/16/24自动汇总 A/B/C
无类,ip子网只能识别任意掩码3.通用路由选择算法(当多链路时候,如何选择一条最佳路径)
--1.最长匹配原则
当路由器访问目的并且有多路径,将目的ip地址根本地址和本地路由条目进行对比,从左到右匹配的比特位越多,则越精准,优先级越高2.管理距离(Adminisitrator Distance)
--也称优先级,越小越优先,管理距离可以用于衡量不同路由协议直接打路径优劣3.度量值(METRIC)
用于衡量同一路由协议的路径优劣,度量便是路由协议用于计算路径的方式或参数,例如带宽,距离MTU延迟最长匹配原则-->管理距离-->度量值-->负载均衡

常见的AD值

image

常见的METRIC

image

RIP路由协议部署

1.背景/概述
Routing information Protocol 路由信息协议,是第一代动态路由协议,所属距离矢量协议,基于跳数来进行路径选择(最多支持15跳),RIP协议有多个版本,分为V1/V2/V3
2.特征
OSI层次:应用层协议,基于UDP端口520
算法:距离矢量协议
有类无类:v1有类,v2无类
运行范围:IGP
最佳路径:管理距离1120,度量值(路由器个数)
代码
network 10.0.0.0排错
show run | include ip route 查看静态路由配置
show run | section router rip 查看RIP配置
show run | s r r 查看rip配置
show ip route static rip eigrp 查看静态/rip/eigrp
show ip protocols 查看路由协议信息no ip routing 关闭路由功能(清除路由表)
ip routing 开启路由功能

image

路由分组和计时器

request分组
定义:RIP氢气去分组,用于初始化路由器邻居请求路由条目
原理
response
rip回复分组,用于更新/发送本地路由信息
特征:周期更新,广播更新,不可靠更新
计时器
更新计时器,30s ,用于实现对路由条目的周期交互
失效计时器,180s,若路由条目180s没有收到更新,则失效
抑制计时器,180s,用于防环
刷新计时器,240s,直接从路由表移除触发更新/中毒路由机制
当路由协议检测到网络拓扑发生变动时,不再需要基于计时器进行路由处理,直接发送故障信息,变动信息进行处理,此项过程为触发更新

路由器算法

路由算法,可以根据路径参数(度量值)生成的路由条目贝尔曼算法:
如果收到邻居给的路由,若本地没有,则接收
如果收到邻居给的路由,若本地有,根据度量值对比,择优录入
如果收到邻居给的路由,则劣质,但是还是从原有的邻居学到的,也录入

路由防环

环路形成

image

1.水平分割
从本接口收到的路由条目,不能再从本接口发送出去
2.最大16跳
定义:如果RIP路由条目跳数达到16跳,则此路由失效并且被丢弃
原理:(rip只能支持直径为16跳的网络,最大有效是15跳,16跳表示失效)
3.路由中毒-触发更新
定义:如果RIP路由条目发生故障,会将此路由标记为16跳,并发送给邻居,告知邻居此路由有问题,尽快删除
4.毒性逆转
定义:如果RIP路由条目发送故障时,会将此路由标记为16跳,并发送给邻居,邻居会返回16跳中毒路由,实现确认
5.抑制计时器
定义:当收到故障路由之后,默认会直接删除本故障路由,若此时从远方又收到此路由,则可能造成再一次环路,为了解决这个问题,设置抑制计时器当收到故障路由保持180s之后再删除路由条目

image

版本对比

V2是无类路由协议(能支持VLSM和CIDR),V1是有类路由协议·
V2传播路由时夹带子网掩码,V1没有
V2是组播更新,V1是广播更新

RIPV2部署

router rip
version 2 
no auto-summary 关闭自动汇总
network + 网段(有类)
clear ip route * 刷新路由表

image

RIP2路由汇总

创建多个网段,可以用一个环回口+secondary实现
r1将其network宣告出去,此时r2和r3能够学到
r3上执行路由汇总(在物理接口,此时r2和r3只能学到汇总路由)

EIGRP基础

eigrp是思科私有的
收敛之王
增强型内部网络路由协议,是一种混合路由协议(集成了距离矢量和链路特征,高级距离矢量)
可靠更新,触发更新增量更新
支持大型网络拓扑

EIGRP基本特征

OSI层次:传输层协议,基于协议号88
算法:距离矢量
运行范围:内部网络协议
有类无类IGRP是类,EIGRP是无类
最佳路径:管理距离90/170,度量值采用混合度量
(带宽,延迟,负载,可信度,MTU)
如果
R1(config)#router eigrp 
% Incomplete command.R1(config)#router eigrp 100
IP routing not enabled
解决办法:输入 ip routing
eigrp实验代码
router eigrp 100
R1(config-router)#network 12.0.0.0
R1(config-router)#network 1.0.0.0 
R1(config-router)#network 192.168.1.0
R1(config-router)#network 13.0.0.0  

EIGRP基本部署

方式一:network+子网掩码
R1(config) router eigrp 100 开启EIGRP进程,定义自治系统符号
no auto-summary 关闭自动汇总
network 1.1.1.1 255.255.255.255
自治系统号(A5)范围1-65535 ,表示区域/管理域的概念:同一个企业运营商的EIGRP路由器必须处于同一个AS内,否则邻居无法建立并无法学到路由
路由收敛:描述路由协议故障恢复,信息处理速度和效率方式2 network + 反掩码/通配符掩码($)
router eigrp 100
network 1.1.1.1 0.0.0.0
network 12.1.1.0 0.0.0.255
no auto-summary反掩码和子网掩码换算
反掩码 = 255.255.255.255-子网掩码
反掩码是什么(路由条目/网段抓取工具,将xxx字段开头路由都通告出去)
子网掩码1,表示网络位,0表示主机位
反掩码,1表示随意匹配,0表示严格匹配

image

image

UPDATE包

ERGIP表项
邻居表,用于存储邻居信息,show ip eigrp neighbor
拓扑表 用于存储所有路由条目(无论优劣)show ip eigrp topology (all-links)
路由表 用于存储最佳路由条目(通过DUAL算法计算) show ip route eigrp

image

总结 1.NULL0路由时用于解决路由环路 2.网络子网有时候是不完整的,但是还是会见总路由告知邻居,若网络拓扑情况有数据包经过,缺失子网时,则有可能造成路由环路 3.NULL0路由优先级高于默认路由,可以有效防止数据转发出去,并且将数据抑制在本地

EIGRP路由汇总
汇总配置
int f0/0 , f1/0
ip summary-address eigrp 100 192.168.0.0 255.255.252.0排错命令
show run int f0/0 查看接口配置

OSRF路由协议

OSRF基础

基本特征
OSRF 开放最短路径优先,采用SRF算法进行路径计算,是目前使用最为广泛的路由协议之一,被大量使用在企业网和校园网中
OSI层次
传输层协议,基于IP协议,协议号89
运行特征
链路状态协议
距离矢量,和链路状态
前者传递路由条目,后者传递链路信息
前者网络能见度只有一跳,后者是整个拓扑
前者计算路由基于邻居,后者计算路由基于自己
前者可能造成环路,后者基本无环
ISIS和OSPF的区别
OSPF和ISIS:
一、基本点:
1、ISIS基于数据链路层,OSPF基于IP层(协议号89),所以ISIS扩展性更强
2、OSPFv2只能用于IPv4,ISIS可以应用在多种网络层协议中:IPv4,IPv6,CLNP
3、OSPF支持4种网络类型:B,NBMA,P2P,P2MP
ISIS支持2种网络类型:B,P2P
OSPF更加适合网络环境比较复杂的场景
4、OSPF支持骨干区域,普通区域和特殊区域,区域的划分更加有层次,适合企业网层次化部署
ISIS支持L2和L1的区域,L1的区域类似OSPF的特殊区域,更加适合运营商做扁平化网络部署
5、OSPF划分区域,区域的边界在路由器上
ISIS划分区域,区域的边界在链路上
6、OSPF有区域内,区域间,区域外路由之分,路由控制更加精细
7、OSPF支持v-link,做网络的优化
8、报文类型:
OSRF:hello,DD,LSR,LSU,LSAck
ISIS:P2P-hello,L1-LAN-hello,L2-LAN-hello,
L1-CSNP,L2-CSNP(类似DD,描述LSDB的摘要信息)
L1-PSNP,L2-PSNP(类似LSR,LSAcK,用来请求LSP或确认LSP)
L1-LSP,L2-LSP(类似LSU,用来更新LSP的全部信息)
二、路由器类型:
OSPF:IR,ABR,ASBR
ISIS:Level-1,L2,L1/2
1、L1的路由器只能和L1或L1/2路由器在同一区域建立L1的邻居关系
2、L2的路由器可以和L2或L1/2路由器在不同区域建立L2的邻居关系
3、L2的邻居关系是骨干区域
三、邻居关系
OSPF:在广播/NBMA网需要选举DR/BDR,
D-other和DR/BDR建立FULL的邻接关系
D-other之间建立2-Way的邻居关系
ISIS:在广播网络选举DIS
所有路由器建立全链接的邻接关系
DR 首先比较优先级,默认为1, 有备份的DR D-other和DR/BDR建立FULL的邻接关系 收集LSA信息
优先级越大越好,优先级一样 叫BDR D-other之间建立2-Way的邻居关系 为其他路由器同步LSDB,减少LSA泛洪
比较router-id,越大越好 不能抢占,当DR失效,由BDR充当DR
优先级为0不能参与选举
最大为255
DIS 首先比较优先级,默认为64 无备份 所有路由器建立全链接的邻接关系 周期发送所有的LSP的摘要信息(CSNP)
优先级越大越好,优先级一样 可以抢占,因为是全互连邻接关系
比较MAC/DLCI,越大越好
如果没有MAC/DLCI,
则比较system-id,越大越好
四、LSDB同步机制
OSPF:
ISIS:
1、P2P的网络LSDB同步
当邻居关系建立之后,立即发送一次CSNP
对方收到之后发送PSNP请求相应LSP
收到PSNP之后回应LSP更新对方LSDB,并启动LSP超时计时器
如果在超时计时器内没有收到对方的PSNP确认
则重传LSP
如果在计时器内收到对方的PSNP
则认为LSDB同步完成
(PSNP完成了OSPF中LSR和LSAck的作用)
2、Broadcast的网络LSDB同步
由DIS周期发送CSNP
当有新上线的路由器时,会立即发送自身所有的LSP
新上线的路由器会根据周期的CSNP来查看自身缺少哪些LSP
则会发送PSNP请求相应LSP
DIS会根据PSNP来更新相应LSP
收到LSP的路由器无需确认,如果没有收到,则再次发送PSNP
注:LSP每900s更新一次,超过1200s则认为该LSP失效,从1200开始减小
LSA每1800s更新一次,超过3600s则认为该LSA失效,从小到大计数

部署

router ospf 100
router-id 1.1.1.1
network 12.1.1.0 0.0.0.255 area 0
骨干区域:Area 0 用于实现其他区域的流量中转,实现区域防环
常规区域,Area x 一般分支机构/部门使用,常规区域之间不能直接通信,必须经过骨干区域
1.区域划分使得OSPF的网站拓扑变的更加层次性和立体化
区域划分可以最大程度减少网络动荡和网络路径计算和消耗
区域划分可以实现区域间防环,常规区域无法直接通信,必须将数据丢给骨干区域,由骨干统一转发(形成星型放射拓扑)
区域划分易于网络管理
OSPF邻居状态机
1.发送hello包
2.发送目录信息
3.发送需求信息
4.交换需求信息
5.更新需求信息
6.确认需求信息

image

image

OSPF路由分组

1.hello分组
功能:用于建立和维持邻居关系
分组:每10秒相互发送hello分组,若40s没有发送,则邻居关系删除
2.DBD分组
clear ip ospf process 
功能:数据库描述符,对于对OSPF的网络拓扑进行描述
3.LSR分组
用于对LSU进行真正的请求
4.LSU
用于存储和传递路径信息
5.LSACK
用于对LSU进行可靠的确认

image

clear ip ospf process 刷新路由 在特权模式下

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/66083.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

IIS设置IP+端口号外网无法访问的解决方案

在IIS将站点设置为IP端口访问,假设端口为8080,设好后,服务器上可以访问,外网无法访问。 通常是端口8080没有加入【入站规则】的缘故,将8080端口加入【入站规则】即可,操作如下: 一、ctrlr 输入 …

使用 apply 方法将其他列的值传入 DataFrame 或 Series 的函数,来进行更灵活的计算或操作

可以使用 apply 方法将其他列的值传入 DataFrame 或 Series 的函数,来进行更灵活的计算或操作。apply 方法允许你逐行或逐列地对 DataFrame 或 Series 的元素进行操作,而且你可以将其他列的值作为参数传递给函数。 示例:使用 apply 结合其他…

计算机毕业设计Django+Tensorflow音乐推荐系统 音乐可视化 卷积神经网络CNN LSTM音乐情感分析 机器学习 深度学习 Flask

温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 温馨提示:文末有 CSDN 平台官方提供的学长联系方式的名片! 作者简介:Java领…

高速网络数据包处理中的内核旁路技术

该PPT详细介绍了Linux网络栈中数据包的传输路径、内核旁路技术的必要性以及具体的内核旁路技术,包括用户空间数据包处理和用户空间网络栈。主要内容概述: 数据包在Linux网络栈中的旅程:描述了数据包从发送到接收的完整路径,包括各…

el-form+el-date-picker组合使用时候的回显问题

背景 我有弹窗创建任务时间的需求,同时也可以修改任务时间,所以复用了弹窗和表单,但在表单里使用日期时间组件的时候,发现了问题 问题描述:在表单中使用form的属性绑定日期时间选择器的v-model,会出现的两…

分布式光伏规模界点为什么是6MW?

多省能源局规定大于6MW的电站必须按集中式管理,另外大于6MW(包含)要省级审批,小于则由市级审批,10kV线路单回接入容量也是6MW,很多电厂发电机装机容量也是以6MW为界点。这是什么原因呢? 配电网…

[2474].第04节:Activiti官方画流程图方式

我的后端学习大纲 Activiti大纲 1.安装位置: 2.启动:

Qt从入门到入土(七)-实现炫酷的登录注册界面(下)

前言 Qt从入门到入土(六)-实现炫酷的登录注册界面(上)主要讲了如何使用QSS样式表进行登录注册的界面设计,本篇文章将介绍如何对登录注册界面进行整体控件的布局,界面的切换以及实现登录、记住密码等功能。…

在 macOS 上,你可以使用系统自带的 终端(Terminal) 工具,通过 SSH 协议远程连接服务器

文章目录 1. 打开终端2. 使用 SSH 命令连接服务器3. 输入密码4. 连接成功5. 使用密钥登录(可选)6. 退出 SSH 连接7. 其他常用 SSH 选项8. 常见问题排查问题 1:连接超时问题 2:权限被拒绝(Permission denied&#xff09…

关于大一上的总结

大一上总结 前言 源于学长们都喜欢写总结,今晚也正好听见一首有点触动心灵的歌,深有感慨,故来此写下这篇总结 正文 1.暑假前的准备 暑假之前姑且还是学习了基本的C语法,大概是到了结构体的地方,进度很慢&#xff0…

Spring Cloud Gateway-自定义异常处理

参考 https://blog.csdn.net/suyuaidan/article/details/132663141,写法不同于注入方式不一样 ErrorWebFluxAutoConfiguration Configuration(proxyBeanMethods false) ConditionalOnWebApplication(type ConditionalOnWebApplication.Type.REACTIVE) Condition…

121.【C语言】数据结构之快速排序(未优化的Hoare排序存在的问题)以及时间复杂度的分析

目录 1.未优化的Hoare排序存在的问题 测试代码 "量身定制"的测试代码1 运行结果 "量身定制"的测试代码2 运行结果 "量身定制"的测试代码3 运行结果 分析代码1、2和3栈溢出的原因 排有序数组的分析 分析测试代码1:给一个升序数组,要求排…

如何使用 `uiautomator2` 控制 Android 设备并模拟应用操作_VIVO手机

在 Android 自动化测试中,uiautomator2 是一个非常强大的工具,能够帮助我们通过 Python 控制 Android 设备执行各种操作。今天,我将通过一个简单的示例,介绍如何使用 uiautomator2 控制 Android 设备,执行特定的应用启动、广告跳过以及其他 UI 操作。此示例的目标是自动化…

Swift Combine 学习(七):实践应用场景举例

Swift Combine 学习(一):Combine 初印象Swift Combine 学习(二):发布者 PublisherSwift Combine 学习(三):Subscription和 SubscriberSwift Combine 学习(四&…

使用 PyInstaller 和 hdiutil 打包 Tkinter 应用为 macOS 可安装的 DMG 文件

在这篇文章中,我们将逐步演示如何将基于 Python 的 Tkinter 应用程序打包成一个 macOS .app 文件,并将其封装为 .dmg 文件,供用户安装。 环境准备 在开始之前,请确保您的开发环境满足以下条件: macOS 系统。安装了 …

DC-2 靶场渗透

目录 环境搭建 开始渗透 扫存活 扫端口 扫服务 看一下80端口 看一下指纹信息 使用wpscan扫描用户名 再使用cewl生成字典 使用wpscan爆破密码 登陆 使用7744端口 查看shell rbash绕过 切换到jerry用户 添加环境变量 现在可以使用su命令了 提权 使用git提权 环…

如何在 Ubuntu 22.04 上优化 Apache 以应对高流量网站教程

简介 在本教程中,我们将学习如何优化 Apache 以应对高流量网站。 当运行高流量网站时,确保你的 Apache Web 服务器得到优化对于有效处理负载至关重要。在本指南中,我们将介绍配置 Apache 以提高性能和可扩展性的基本技巧。 为高流量网站优…

安卓NDK视觉开发——手机拍照文档边缘检测实现方法与库封装

一、项目创建 创建NDK项目有两种方式,一种从新创建整个项目,一个在创建好的项目添加NDK接口。 1.创建NDK项目 创建 一个Native C项目: 选择包名、API版本与算法交互的语言: 选择C版本: 创建完之后,可…

02.01、移除重复节点

02.01、[简单] 移除重复节点 1、题目描述 编写代码,移除未排序链表中的重复节点。保留最开始出现的节点。 2、解题思路 为了实现这一目标,我们可以使用一个哈希表(或集合)来记录已经遇到的节点值,逐步遍历链表并删…

反向传播算法的偏置更新步骤

偏置的更新步骤 假设我们有一个三层神经网络(输入层、隐藏层和输出层),并且每层的激活函数为 sigmoid 函数。我们需要更新隐藏层和输出层的偏置。以下是详细的步骤: 1. 计算误差项(Error Term) 输出层的…