EIGRP默认路由、路由归纳、认证和试题分析

第6章理解并实施路由技术任务6.4.10演示：EIGRP的路由归纳与默认路由公告演示目标：配置EIGRP的路由归纳与默认路由。演示环境：如图6.176所示。演示背景：在这里可以把路由器backbone看作是网络上的主干路由器，将路由器R1看作是企业边界路由器，在该路由器上配置了4个子网：172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24，如果主干路由器backbone与企业边界路由器使用EIGRP动态路由协议来相互公告与学习路由，那么在主干路由器backbone上就将存在到路由器R1上4个子网的具体路由条目。就以这样的实例来类推，一台企业边界路由器公告4条具体的路由条目，如果有100台企业边界路由器，每台都具备4个子网，那么在主干路由器上就会存在400条路由条目。如果网络以此规划，那么主干路由器的路由条目将变得非常庞大，这将影响选路性能，所以在企业边界的EIGRP路由器上执行路由归纳是必要的行为。虽然EIGRP提供了路由自动汇总（auto-summary）功能，但是该功能只能将VLSM子网自动汇总成标准的主类网络，比如：将172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24自动汇总成172.16.0.0/16的形式，如果想根据实际情况汇总成172.16.1.0/21位的形式，自动汇总功能将无法满足需求，此时，需要采取EIGRP手工汇总的方式来满足非标准类的路由归纳。任务6.4.10图6.176关于EIGRP路由归纳与默认路由的环境对应如图6.176所示的实验环境，为主干路由器backbone和企业边界路由器配置接口IP地址，并启动EIGRP动态路由协议。具体配置如下。路由器backbone的配置：backbone(config)#intee1/0backbone(config-if)#ipaddress192.168.2.2255.255.255.0backbone(config-if)#noshutdownbackbone(config)#routereigrp2012backbone(config-router)#network192.168.2.0任务6.4.10路由器R1的配置：R1(config)#interfaceloopback1R1(config-if)#ipaddress172.16.1.1255.255.255.0R1(config)#interfaceloopback2R1(config-if)#ipaddress172.16.2.1255.255.255.0R1(config)#interfaceloopback3R1(config-if)#ipaddress172.16.3.1255.255.255.0R1(config)#interfaceloopback4R1(config-if)#ipaddress172.16.4.1255.255.255.0R1(config)#interfacee1/0R1(config-if)#ipaddress192.168.2.1255.255.255.0R1(config-if)#noshutdownR1(config)#routereigrp2012R1(config-router)#network172.16.0.0R1(config-router)#network192.168.2.0任务6.4.10当完成上述配置后，可以在主干路由器backbone上通过showiproute指令查看主干路由器（backbone）的路由表，如图6.177所示，可以清晰地看到企业边界路由器发送过来的4条EIGRP的路由记录。图6.177在主干路由器上没有执行路由归纳前的路由表任务6.4.10为了减少主干路由器backbone路由记录的数量，现在执行路由归纳，将4个24位的子网（172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24）手工归纳成一个21位的子网(172.16.1.0/21)。关于将4个子网归纳成21位的思路如图6.178所示，子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的前两个8位组172.16对应的掩码是255.255，这无可非议，现在将第三个8位组从十进制转换成二进制，从图中可以看出这4个地址的第三个8位组（十进制的1、2、3、4）的前5位（从左至右）一样，所以这是它们可归纳的网络掩码，即11111000，十进制就是248，加上前面两个8位组所对应的子网掩码255.255，被归纳路由的完整子网掩码就是255.255.248.0。所以可将子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24手工归纳成172.16.1.0/21。图6.178路由归纳的计算方式任务6.4.10在企业边界路由器R1的E1/0执行路由归纳指令：R1(config-if)#ipsummary-addresseigrp2012172.16.1.0255.255.248.0指令解释：ipsummary-addresseigrp2012是EIGRP路由归纳的关键字，后面2012是EIGRP的自治系统编号。172.16.1.0指示归纳的目标网络，255.255.248.0指示归纳的目标网络的子网掩码。在企业边界路由器R1上完成了路由归纳后，可以在主干路由器backbone上查看路由归纳的结果。首先使用cleariproute*指令重新初始化主干路由器的路由表，如果没有执行重新初始化路由表的命令，那么就请等待30秒左右，可以在主干路由器backbone上执行showiproute指令，得到如图6.179所示的路由表，指示4条EIGRP路由已经被执行路由归纳，变成一条21位的EIGRP路由。任务6.4.10图6.179主干路由器被执行路由归纳后的路由表提问：现在主干路由器上只有一条172.16.0.0/21位的归纳路由，没有到R1的4个子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的具体路由，那么主干路由器能到达上述4个子网吗？任务6.4.10首先在主干路由器上执行对路由器R1上4个子网的ping通信，如图6.180所示，可以看到主干路由器成功地与172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24完成通信。原因很简单，因为在主干路由器上有一条到172.16.0.0/21的汇总路由，可以理解为172.16.0.0/21是172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的上层路由（父路由），通过这条172.16.0.0/21的汇总路由，可以让主干路由器的数据包成功地投递到路由器R1上，那么数据包具体是给哪个子网，将由路由器R1决定，因为路由器R1上拥有4个子网的具体路由。图6.180使用归纳路由完成通信检测任务6.4.10现在在主干路由器上配置一个环回接口10，并为该接口配置IP地址为10.1.1.1。注意：请不要将该接口公告到EIGRP路由域中。具体的配置如下。为主干路由器backbone配置环回接口：backbone(config)#interfacelo10backbone(config-if)#ipaddress10.1.1.1255.255.255.0

在路由器R1上检测与主干路由器backbone上10.1.1.1的通信，如图6.181所示。指示通信失败，原因是路由器R1的路由表中没有到达10.1.1.0/24的具体路由，可以通过在路由器R1上执行showiproute指令得到如图6.182所示的结果。图6.181

ping10.1.1.1失败任务6.4.10图6.182

R1上没有任何路由可以到达10.1.1.1任务6.4.10现在到主干路由器backbone上为EIGRP路由域配置一条自动公告的默认路由，其目的是让路由器R1学到这条路由，然后将那些匹配不上某条具体路由的数据包通过默认路由进行发送。关于主干路由器backbone自动公告EGIRP默认路由的配置指令如下。在主干路由器上自动公告EIRGP默认路由的配置：backbone(config)#intee1/0backbone(config-if)#ipsummary-addresseigrp20120.0.0.00.0.0.0指令解释：指令intee1/0是进入EIGRP相关路由接口的命令，因为EIGRP的自动公告默认路由需要在接口模式下完成，而指令ipsummary-addresseigrp20120.0.0.00.0.0.0指示该接口自动汇聚一条默认路由。在主干路由器上完成上述配置后，可以在路由器R1上通过showiproute指令查看主干路由器公告的默认路由，如图6.183所示。D右上角有一个“*”号表示EIGRP的默认路由，这表示如果路由器R1的路由表中没有一条具体的路由与转发数据包中的目标IP地址相匹配，那么将通过默认路由进行转发。此时在路由器R1上再来测试与主干路由器backbone上10.1.1.1的通信，如图6.184所示，成功通信，因为路由器R1能使用默认路由成功地转发数据包。任务6.4.10图6.183成功地学习到默认路由图6.184使用默认路由成功地ping通10.1.1.1任务6.4.11理解并配置：EIGRP的安全认证过程关于为什么要使用EIGRP安全认证，这与本章前面两个路由协议RIP与OSPF使用安全认证的意义相同，所以不再重复描述，在本小节需要理解的是EIGRP的认证方式，以及如何配置EIGRP的认证，分析EIGRP的认证数据帧。MD5方式的认证是EIGRP协议支持的唯一认证方式，这与RIP和OSPF不一样，因为RIP和OSPF既支持简单的明文认证，又支持MD5的强安全认证。为什么EIGRP不支持明文认证？RIP与OSPF既支持简单的明文认证，又支持MD5的强安全认证，这是因为这两个协议是所有路由器生产厂商都支持的开放式路由协议，而思科对RIP和OSPF所支持的强安全认证特性，比如MD5认证方式，其他厂商未必支持MD5认证，思科为了向下兼容，所以让RIP和OSPF支持明文认证。但是EIGRP是思科自主知识产权的路由协议，它具备一定的私有性，所以它不需要过多考虑与其他厂商在路由安全认证问题上的兼容，设计者为了让EIGRP的路由公告更安全，而又不需要考虑兼容性，就没有必要让EIGRP支持明文认证。EIGRP的认证消息被Hello消息所承载，具体取证的数据帧如图6.185所示，可以看出EIGRP的认证字段被包含在Hello消息里面，而且使用了MD5的强安全认证，所以认证密钥串的内容不可查看。关于EIGRP安全认证的配置如下。r1(config)#keychaineigrpkey任务6.4.11图6.185

EIGRP被加密的认证内容的数据帧任务6.4.11定义一个叫“eigrpkey”的密钥链，这个密钥链将会被应用到EIGRP路由器的接口之上。r1(config-keychain)#key1在密钥链里定义第一个密钥，可以定义多个密钥，比如：key2、key3。r1(config-keychain-key)#key-stringccna123w输入密钥串的内容，建议密钥字符串使用足够的长度，并将字母、数字、大小写混用，这可加强密钥字符串的安全性。r1(config)#intes1/0进入已经启动EIGRP路由协议的接口。r1(config-if)#ipauthenticationkey-chaineigrp2009ei