神州数码cisco8.doc

神州数码cisco8专题8 IGRP、EIGRP和OSPF协议本专题内容： 通过学习本专题掌握IGRP、EIGRP和OSPF协议的特性及其配置过程。一、IGRP协议 1、概述IGRP(Interior Gateway Routing Protocol)是八十年代中期由Cisco公司开发的路由协议，Cisco创建IGRP的主要目的是为AS内的路由提供一种健壮的协议。八十年代中期，最流行的AS内的路由协议是RIP。虽然RIP对于在小到中型的同类网中非常有用，但随着网络的发展，其限制越来越显著，特别是RIP很小的跳数限制(16)制约了网络的规模，且其单一的metric（跳数）在复杂的环境中很不灵活。Cisco路由器的普及和IGRP的健壮性使许多拥有大型网络的组织用IGRP代替RIP。在九十年代初Cisco开发了增强型IGRP（EIGRP）以提高IGRP的工作效率，本文讨论IGRP的基本设计和实现。2、IGRP协议特性IGRP是一种距离向量型的内部网关协议（IGP）。距离向量路由协议要求每个路由器以规则的时间间隔向其相邻的路由器发送其路由表的全部或部分。随着路由信息在网络上扩散，路由器就可以计算到所有节点的距离。IGRP使用一组metric的组合，网络延迟、带宽、可靠性和负载都被用于路由选择，网管可以为每种metric设置权值，IGRP可以用管理员设置的或缺省的权值来自动计算最佳路由。IGRP为其metric提供了较宽的值域。例如，可靠性和负载可在1和255之间取值；带宽值域为1200bps到10Gbps；延迟可取值1到24。宽的值域可以提供满意的metric设置，更重要的是，metric各组件以用户定义的算法结合，因此，网管可以以直观的方式影响路由选择。为了提供更多的灵活性，IGRP允许多路径路由。两条等带宽线路可以以循环（round-robin）方式支持一条通信流，当一条线路断掉时自动切换到第二条线路。此外，即使各条路的metric不同也可以使用多路径路由。例如，如果一条路径比另一条好三倍，它将以三倍使用率运行。只有具有一定范围内的最佳路径metric值的路由才用作多路径路由。1）稳定性IGRP提供许多特性以增强其稳定性，包括hold-down、split horizon和poison-reverse。距离向量类的算法容易产生路由循环，RIP是距离向量算法的一种，所以它也不例外。如果网络上有路由循环，信息就会循环传递，永远不能到达目的地。为了避免这个问题，RIP等距离向量算法实现了下面4个机制。A）水平分割（splithorizon）水平分割保证路由器记住每一条路由信息的来源，并且不在收到这条信息的端口上再次发送它。这是保证不产生路由循环的最基本措施。B）毒性逆转（poisonreverse）当一条路径信息变为无效之后，路由器并不立即将它从路由表中删除，而是用16，即不可达的度量值将它广播出去。这样虽然增加了路由表的大小，但对消除路由循环很有帮助，它可以立即清除相邻路由器之间的任何环路。C）触发更新（triggerupdate）当路由表发生变化时，更新报文立即广播给相邻的所有路由器，而不是等待90秒的更新周期。同样，当一个路由器刚启动RIP时，它广播请求报文。收到此广播的相邻路由器立即应答一个更新报文，而不必等到下一个更新周期。这样，网络拓扑的变化会最快地在网络上传播开，减少了路由循环产生的可能性。D）抑制计时（holddowntimer）一条路由信息无效之后，一段时间内这条路由都处于抑制状态，即在一定时间内不再接收关于同一目的地址的路由更新。如果，路由器从一个网段上得知一条路径失效，然后，立即在另一个网段上得知这个路由有效。这个有效的信息往往是不正确的，抑制计时避免了这个问题，而且，当一条链路频繁起停时，抑制计时减少了路由的浮动，增加了网络的稳定性。Hold-down用于阻止定期更新信息不适当地发布一条可能失效的路由信息。当一个路由器失效时，相邻的路由器通过未收到定期的更新消息检测到该情况，这些路由器就计算新的路由并发送路由更新信息把路由改变通知给它们相邻的路由器。这一举动激发一系列触发的更新，这些触发的更新并不能立刻到达每一个网络设备，所以可能发生这样的情况：一个还未收到网络失效信息的设备给一个刚被通知网络失效的设备发送定期更新信息，说那条已断掉的路由还是好的，这样，后者就会含有（还可能发布）错误的路由信息。Hold-down告诉路由器把可能影响路由的改变保持一段时间。Hold-down时期通常只比整个网络更新某一路由改变所需时间多一点。2）计时器IGRP维护一组计时器和含有时间间隔的变量。包括更新计时器、失效计时器、保持计时器和清空计时器。更新计时器规定路由更新消息应该以什么频度发送，IGRP中此值缺省为90秒。失效计时器规定在没有特定路由的路由更新消息时，在声明该路由失效前路由器应等待多久，IGRP中此值缺省为更新周期的三倍。保持时间变量规定hold-down周期，IGRP中此值缺省为更新周期加10秒。最后，清空计时器规定路由器清空路由表之前等待的时间，IGRP的缺省值为路由更新周期的七倍。缺省情况下，IGRP每90秒发送一次路由更新广播，在3个更新周期内(即270秒)，没有从路由中的第一个路由器接收到更新，则宣布路由不可访问。在7个更新周期即630秒后，Cisco IOS 软件从路由表中清除路由。3、IGRP协议的配置1）启动IGRP路由协议，在全局设置模式下，router igrp 自治域号注：自治系统号可以随意建立，并非实际意义上的自治系统,但运行IGRP的路由器要想交换路由更新信息其自治系统需相号必须相同，只有同一自治域内的路由器才能交换路由信息。2）本路由器参加动态路由的子网network 子网号IGRP只是将由net work指定的子网在各端口中进行传送以交换路由信息，如果不指定子网，则路由器不会将该子网广播给其它路由器3）指定某路由器所知的IGRP路由信息广播给那些与其相邻接的路由器neighbor 邻接路由器的相邻端口IP地址IGRP是一个广播型协议，为了使IGRP路由信息能在非广播型网络中传输，必须使用该设置，以允许路由器间在非广播型网络中交换路由信息，广播型网络如以太网无须设置此项。以上为IGRP的基本设置，通过该设置，路由器已能完全通过IGRP进行路由信息交换其他设置。4、实例说明Router1: router igrp 200 network 192.200.10.0 network 192.20.10.0 Router2: router igrp 200 network 192.200.10.0 二、EIGRP协议 1、EIGRP概述 加强型内部网关路由协议（以下简称“EIGRP”）是Cisco公司开发的距离矢量路由协议，支持IP、IPX等多种网络层协议。由于TCPIP是当今网络中最常用的协议，故本文只讨论IP网络环境中的EIGRP。 EIGRP是一个平衡混合型路由协议（Cisco公司创造的术语），既有传统的距离矢量协议的特点：路由信息依靠邻居路由器通告，遵守路由水平分割和毒性逆转规则，路由自动归纳，配置简单，又有传统的链路状态路由协议的特点：没有路由跳数的限制，当路由信息发生变化时，采用增量更新的方式，保留对所有可能路由（网络的拓扑结构）的了解、支持变长子网掩码、路由手动归纳。该协议同时又具有自己独特的特点：支持非等成本路由上的负载均衡，采用差分更新算法（DUAL）在确保无路由环路的前提下，收敛迅速。因而适用于中大型网络。 2、EIGRP的术语和概念 1）在EIGRP中，有五种类型的数据包： HELLO：以组播的方式发送，用于发现邻居路由器，并维持邻居关系。 更新（update）：当路由器收到某个邻居路由器的第一个HELLO包时，以单点传送方式回送一个包含它所知道的路由信息的更新包。当路由信息发生变化时，以组播的方式发送一个只包含变化信息的更新包。注意，两个更新包的内容不一样。 查询（query）：当一条链路失效，路由器重新进行路由计算但在拓扑表中没有可行的后继路由时，路由器就以组播的方式向它的邻居发送一个查询包，以询问它们是否有一条到目的地的可行后继路由。 答复（reply）：以单点的方式回传给查询方，对查询数据包进行应答。 确认（ACK）：以单点的方式传送，用来确认更新、查询、答复数据包，以确保更新、查询、答复传输的可靠性。 2）可行距离(feasible distance)：到达一个目的地的最短路由的度量值。 3）后继 ( successor)：后继是一个直接连接的邻居路由器，通过它具有到达目的地的最短路由。通过后继路由器将包转发到目的地。 4）通告距离（advertise distance）：相邻路由器所通告的相邻路由器自己到达某个目的地的最短路由的度量值。 5）可行后继 (feasible successor)：可行后继是一个邻居路由器，通过它可以到达目的地，不使用这个路由器是因为通过它到达目的地的路由的度量值比其他路由器高，但它的通告距离小于可行距离，因而被保存在拓扑表中，用做备择路由。 6）可行条件 (feasible conditon) ：上述四个术语，构成了可行条件，是EIGRP路由器更新路由表和拓扑表的依据。可行条件可以有效地阻止路由环路，实现路由的快速收敛。 7）活跃状态 (active state)：当路由器失去了到达一个目的地的路由，并且没有可行后继可利用时，该路由进入活跃状态，是一条不可用的路由。当一条路由处于活跃状态时，路由器向所有邻居发送查询来寻找另外一条到达该目的地的路由。 8）被动状态 (passive state)：当路由器失去了一条路由的后继而有一个可行后继，或者再找到一个后继时，该路由进入被动状态，是一条可用的路由。3、EIGRP的工作原理初始运行EIGRP的路由器都要经历发现邻居、了解网络、选择路由的过程，在这个过程中同时建立三张独立的表：列有相邻路由器的邻居表、描述网络结构的拓扑表、路由表，并在运行中网络发生变化时更新这三张表。 1）建立相邻关系 运行EIGRP的路由器自开始运行起，就不断地用组播地址从参与的各个接口向外发送HELLO包。当路由器收到某个邻居路由器的第一个HELLO包时，以单点传送方式回送一个更新包，在得到对方路由器对更新包的确认后，这时双方建立起邻居关系。 2）发现网络拓扑，选择最短路由 当路由器动态地发现了一个新邻居时，也获得了来自这个新邻居所通告的路由信息，路由器将获得的路由更新信息首先与拓扑表中所记录的信息进行比较，符合可行条件的路由被放入拓扑表，再将拓扑表中通过后继路由器的路由加入路由表，通过可行后继路由器的路由如果在所配置的非等成本路由负载均衡的范围内，则也加入路由表，否则，保存在拓扑表中作为备择路由。如果路由器通过不同的路由协议学到了到同一目的地的多条路由，则比较路由的管理距离，管理距离最小的路由为最优路由。 3）路由查询、更新 当路由信息没有变化时，邻居间只是通过发送包，来维持邻居关系，以减少对网络带宽的占用。在发现一个邻居丢失、一条链路不可用时，EIGRP立即会从拓扑表中寻找可行后继路由器，启用备择路由。如果拓扑表中没有后继路由器，由于EIGRP 依靠它的邻居来提供路由信息，在将该路由置为活跃状态后，向所有邻居发送查询数据包。 如果某个邻居有一条到达目的地的路由，那么它将对这个查询进行答复，并且不再扩散这个查询，否则，它将进一步地向它自己的每个邻居查询，只有所有查询都得到答复后，EIGRP 才重新计算路由，选择新的后继路由器。 4、EIGRP的配置EIGRP的基本配置和IGRP类似，不再详细介绍。三、OSPF协议 1、概述80年代中期，RIP已不能适应大规模异构网络的互连，0SPF随之产生。它是网间工程任务组织（1ETF）的内部网关协议工作组为IP网络而开发的一种路由协议。 OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对，OSPF是链路状态路由协议，而RIP是距离向量路由协议。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。2、OSPF的特性0SPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用0SPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。与RIP不同，OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。3、OSPF的配置1）启用OSPF动态路由协议 ：router ospf 进程号进程号可以随意设置，只标识ospf为本路由器内的一个进程。2）定义参与ospf的子网.该子网属于哪一个OSPF路由信息交换区域：network ip 子网号 通配符 area 区域号路由器将限制只能在相同区域内交换子网信息，不同区域间不交换路由信息。另外，区域0为主干OSPF区域。不同区域交换路由信息必须经过区域0。一般地，某一区域要接入OSPF0路由区域，该区域必须至少有一台路由器为区域边缘路由器，即它既参与本区域路由又参与区域0路由。3）OSPF区域间的路由信息总结如果区域中的子网是连续的，则区域边缘路由器向外传播给路由信息时，采用路由总结功能后，路由器就会将所有这些连续的子网总结为一条路由传播给其它区域，则在其它区域内的路由器看到这个区域的路由就只有一条。这样可以节省路由时所需网络带宽。设置对某一特定范围的子网进行总结：area 区域号 range 子网范围掩码4）指明网络类型在需要进行OSPF路由信息的端口中设置： ip ospf network broadcast或non-broadcast或point-to -mutlipoint一般地，对于 DDN，帧中继和X.25属于非广播型的网络，即non-broadcast5）对于非广播型的网络连接，需指明路由器的相邻路由器： neighbor 相邻路由器的相邻端口的IP地址6）安全设置为了安全的原因，我们可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。 在默认情况下OSPF不使用区域验证。通过两种方法可启用身份验证功能，纯文本身份验证和消息摘要(md5)身份验证。纯文本身份验证传送的身份验证口令为纯文本，它会被网络探测器确定，所以不安全，不建议使用。而消息摘要(md5)身份验证在传输身份验证口令前，要对口令进行加密，所以一般建议使用此种方法进行身份验证。 A、指定身份验证：area area-id authentication message-digestB、使用纯文本身份验证ip ospf authentication-key passwordC、设置某区域使用安全设置MD5方式 area 区域标号 authentication message-digest可以采用明文方式 ，但建议采用MD5方式，较安全。D、设置某端口验证其相邻路由器相邻端口时的MD5口令，在端口设置模式下 ip ospf message-digest-key 口令标号 MD5 口令字符串 其中，在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须相同，同一路由器的不同端口的MD5口令可以不同，也可以某些端口使用安全设置，某些端口不使用安全设置。4实例说明以下列举两种验证设置的示例，示例的网络分布及地址分配环境与以上基本配置举例相同，只是在Router1和Router2的区域0上使用了身份验证的功能。Router1: interface ethernet 0 ip address 192.1.0.129 255.255.255.192 ! interface serial 0 ip address 192.200.10.5 255.255.255.252 ip ospf authentication-key cisco / *使用纯文本身份验证（ip ospf message-digest-key 1 md5 cisco ） /*消息摘要(md5)身份验证! router ospf 100 network 192.200.10.4 0.0.0.3 ar