演示RIP路由归纳、等价负载均衡、安全认证

第6章理解并实施路由技术任务6.2.10演示：RIP的路由归纳与默认路由公告演示目标：配置RIP的路由归纳与默认路由。演示环境：如图6.50所示。演示背景：在这里可以把路由器backbone看作是网络上的主干路由器，将路由器R1看作是企业边界路由器，在该路由器上配置了4个子网：172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24。如果主干路由器backbone与企业边界路由器使用RIP动态路由协议来相互公告与学习路由，那么在主干路由器backbone上就将存在到路由器R1上4个子网的具体路由条目。就以这样的实例来类推，一个企业边界路由器公告4条具体的路由条目，如果有100台企业边界路由器，每台都具备4个子网，那么在主干路由器上就会存在400条路由条目。如果网络以此规划，主干路由器的路由条目将变得非常庞大，这将影响选路性能，所以在企业边界的RIP路由器上执行路由归纳是必要的行为。虽然RIP提供了路由自动汇总（auto-summary）功能，但是该功能只能将VLSM子网自动汇总成标准的主类网络，比如：将172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24自动汇总成172.16.0.0/16的形式，如果想根据实际情况汇总成172.16.1.0/21位的形式，自动汇总功能将无法满足需求，此时，需要采取RIP手工汇总的方式来满足非标准类的路由归纳。任务6.2.10对应如图6.50所示的实验环境，为主干路由器backbone和企业边界路由器配置接口IP地址，并启动RIP动态路由协议。具体配置如下。路由器backbone的配置：backbone(config)#intee1/0backbone(config-if)#ipaddress192.168.2.2255.255.255.0backbone(config-if)#noshutdownbackbone(config)#routerripbackbone(config-router)#noauto-summarybackbone(config-router)#version2backbone(config-router)#network192.168.2.0任务6.2.10路由器R1的配置：R1(config)#interfaceloopback1R1(config-if)#ipaddress172.16.1.1255.255.255.0R1(config)#interfaceloopback2R1(config-if)#ipaddress172.16.2.1255.255.255.0R1(config)#interfaceloopback3R1(config-if)#ipaddress172.16.3.1255.255.255.0R1(config)#interfaceloopback4R1(config-if)#ipaddress172.16.4.1255.255.255.0R1(config)#interfacee1/0R1(config-if)#ipaddress192.168.2.1255.255.255.0R1(config-if)#noshutdownR1(config)#routerripR1(config-router)#noauto-summaryR1(config-router)#version2R1(config-router)#network172.16.0.0R1(config-router)#network192.168.2.0任务6.2.10当完成上述配置后，可以在主干路由器backbone上通过指令showiproute查看到主干路由器backbone的路由表，如图6.51所示，可以清晰地看到企业边界路由器发送过来的4条RIP的路由记录。图6.51路由归纳前的路由表任务6.2.10为了减少主干路由器（backbone）路由记录的数量，现在执行路由归纳，将4个24位的子网（172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24）手工归纳成一个21位的子网(172.16.1.0/21)。关于将4个子网归纳成21位的思路如图6.52所示，子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的前面两个8位组172.16对应的掩码是255.255，这无可非议，现在将第三个八位组从十进制转换成二进制，图6.52最高效率路由归纳的原则从图中可以看出这4个地址的第三个八位组（十进制的1、2、3、4）的前5位（从左至右）一样，所以这是它们可归纳的网络掩码，即11111000，十进制就是248，加上前面两个8位组所对应的子网掩码255.255，被归纳路由的完整子网掩码就是255.255.248.0。所以可将子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24手工归纳为172.16.1.0/21。任务6.2.10指令解释：ipsummary-addressrip是RIP路由归纳的关键字，172.16.1.0指示归纳的目标网络，255.255.248.0指示归纳的目标网络的子网掩码。在企业边界路由器R1上完成了路由归纳后，可以在主干路由器（backbone）上查看路由归纳的结果。首先使用cleariproute*指令重新初始化主干路由器的路由表，如果没有执行重新初始化路由表的命令，那么就请等待30秒左右，可以在主干路由器backbone上执行showiproute指令，得到如图6.53所示的路由表，指示4条RIP路由已经被执行路由归纳，变成一条21位的RIP路由。在企业边界路由器R1的E1/0执行路由归纳指令：R1(config-if)#ipsummary-addressrip172.16.1.0255.255.248.0图6.53完成路由归纳后的路由表任务6.2.10提问：现在主干路由器上只有一条172.16.0.0/21位的归纳路由，没有到R1的4个子网172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的具体路由，那么主干路由器能到达上述4个子网吗？首先在主干路由器上执行对路由器R1上4个子网的ping通信，如图6.54所示，可以看到主干路由器成功地与172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24完成通信。原因很简单，因为在主干路由器上有一条到172.16.0.0/21的汇总路由，可以理解为172.16.0.0/21是172.16.1.1/24、172.16.2.1/24、172.16.3.1/24、172.16.4.1/24的上层路由（父路由），通过这条172.16.0.0/21的汇总路由，可以让主干路由器的数据包成功地投递到路由器R1上，那么数据包具体是给哪个具体的子网，将由路由器R1决定，因为路由器R1上拥有4个具体子网的具体路由。任务6.2.10现在在主干路由器上配置一个环回接口10，并为该接口配置IP地址为10.1.1.1。注意：请不要将该接口公告到RIP路由域中。具体的配置如下。为主干路由器backbone配置环回接口：backbone(config)#interfacelo10backbone(config-if)#ipaddress10.1.1.1255.255.255.0

在路由器R1上检测与主干路由器backbone上10.1.1.1的通信，如图6.55所示。指示通信失败，原因是路由器R1的路由表中没有到达10.1.1.0/24的具体路由，可以通过在路由器R1上执行showiproute指令得到如图6.56所示的结果。图6.54使用归纳后的路由完成通信任务6.2.10图6.55没有默认路由前ping10.1.1.1图6.56没有默认路由的路由表任务6.2.10现在到主干路由器（backbone）上为RIP路由域配置一条自动公告的默认路由，其目的是让路由器R2学到这条路由，然后将那些匹配不上某条具体路由的数据包通过默认路由进行发送。关于主干路由器（backbone）自动公告RIP默认路由的配置指令如下。在主干路由器上自动公告RIP默认路由的配置：backbone(config)#routerripbackbone(config-router)#default-informationoriginate指令解释：指令routerrip是进入RIP路由域的命令，因为RIP的自动公告默认路由需要在RIP的路由模式下完成，而指令default-informationoriginate指示向RIP路由域自动公告一条默认路由。在主干路由器上完成上述配置后，可以在路由器R1上通过showiproute指令查看主干路由器公告过来的默认路由，如图6.57所示。R右上角有一个“*”号表示RIP的默认路由，这表示如果路由器R1的路由表中没有一条具体的路由与转发数据包中的目标IP地址相匹配，那么将通过默认路由进行转发。此时在路由器R1上再来测试与主干路由器backbone上10.1.1.1的通信，如图6.58所示，成功通信，因为路由器R1能使用默认路由成功地转发数据包。任务6.2.10图6.57学到RIP默认路由的路由表图6.58再次检测与10.1.1.1的连通性任务6.2.11演示：演示：RIP的等价负载均衡演示目标：理解RIP的等价负载均衡。演示环境：如图6.59所示。演示背景：路由器R1与R2有两条等价的路径（它们具备相同的跳数）进行负载均衡，然后通过路由器上的debug指令看到负载均衡时数据转发的链路。图6.59关于RIP等价负载均衡的实验环境任务6.2.11对应如图6.59所示的环境，为路由器R1和R2配置接口IP地址，并使整个网络运行RIP路由协议。关于两台路由器的配置如下。路由器R1的配置：R1(config)#interfaces2/0R1(config-if)#ipaddress192.168.3.1255.255.255.252R1(config-if)#encapsulationpppR1(config-if)#noshutdownR1(config)#interfacee1/0R1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config-if)#noshutdownR1(config)#intee1/1R1(config-if)#ipaddress192.168.4.1255.255.255.0R1(config-if)#noshutdownR1(config)#routerripR1(config-router)#noauto-summaryR1(config-router)#version2R1(config-router)#network192.168.3.0R1(config-router)#network192.168.1.0R1(config-router)#network192.168.4.0任务6.2.11路由器R2的配置：R2(config)#interfacee1/0R2(config-if)#ipaddress192.168.1.2255.255.255.0R2(config-if)#noshutdownR2(config)#interfaces2/0R2(config-if)#ipaddress192.168.3.2255.255.255.252R2(config-if)#encapsulationpppR2(config-if)#noshutdownR2(config)#interfacee1/1R2(config-if)#ipaddress192.168.5.1255.255.255.0R2(config-if)#noshutdownR2(config)#routerripR2(config-router)#noauto-summaryR2(config-router)#version2R2(config-router)#network192.168.3.0R2(config-router)#network192.168.1.0R2(config-router)#network192.168.5.0任务6.2.11完成上述配置后，可以通过showiproute指令查看路由器R1和R2的路由表，如图6.60和图6.61所示，可见到各自的目标子网都有两条相等开销的RIP路由，这是RIP等价负载均衡的前提。虽然两条路径的带宽不一样，一条是串行链路（1.544MB）；一条是以太网链路（10MB），但是RIP会认为两条路径的开销一样，因为它只以“跳数”作为路由度量值。图6.60R1上出现等价开销的路由图6.61

R2上出现等价开销的路由任务6.2.11现在开始验证RIP的等价负载均衡。在路由器R1上首先执行debugipicmp指令，指示显示路由器转发的ICMP数据过程，然后在路由器R1上ping计算机B（192.168.5.2），会发现一个奇特现象，如图6.62所示，所有的ICMP数据包只经过串行接口S2/0（192.168.3.1）进行转发，并没有结合以太网接口E1/0（192.168.1.1）进行负载均衡，难道没有负载均衡功能吗？事实上，思科IOS存在两种不同的负载均衡模式，其中一种是基于每个数据分组的负载均衡，通常叫作进程交换；另一种是基于同一个目标地址的负载均衡，通常叫作快速交换。在默认情况下，思科IOS使用快速交换，即到同一个目标IP地址的数据分组会被放到同一条链路上发送，如果目标是另一个IP地址，就可以看到两个不同目标地址的负载均衡。正因为这个原因，所以才会得到如图6.62所示的debug结果。如果需要观察：到同一个目标地址的不同分组在不同的链路上执行负载均衡，就必须关闭快速交换模式，使用传统的进程交换模式。关闭快速交换模式的指令是在路由器R1的全局配置模式下使用noipcef。当执行该指令后，仍然保持debugipicmp处于打开状态，然后到路由器R1上ping计算机B（192.168.5.2），会发现如图6.63所示的结果，此时的ICMP数据在以太网链路（E1/0）192.168.1.1和串行链路（S2/0）192.168.3.1上进行负载均衡，其负载均衡的效果是：一个分组通过以太网链路（E1/0）192.168.1.1转发；另一个分组则通过串行链路（S2/0）192.168.3.1转发；不断重复交替进行。任务6.2.11图6.62debug没有等价负载均衡的信息图6.63

debug出现等价负载均衡的信息任务6.2.11早期的IOS中的RIP路由协议最多可以支持6条等价负载均衡的路径，在默认情况下RIP支持４条路径，最新的IOS可以支持32条RIP的多路径转发。关于这一点可以通过执行showipprotocols指令来查看，如图6.64所示。如果需要改变RIP负载均衡的路径数量，则可执行如下配置。改变RIP的多路径转发的数量：R1(config)#routerripR1(config-router)#maximum-paths6图6.64显示默认RIP的等价负载均衡的路径任务6.2.12理解并配置：RIP的安全认证过程路由更新是路由学习过程中一个非常重要的行为，当执行路由更新时，是不允许在没有得到合法身份确认之前，让路由器接收任意路由器的路由更新的，所以保障路由更新的安全性是一个必要过程。RIP提供两种方式的路由认证：一种是基于明文（text）的认证；一种是基于MD5算法的认证。基于明文的RIP认证主要是为了向下兼容与某些不提供MD5安全认证的厂商协同工作实现RIP的明文认证。基于明文认证的安全级别很低，它是将认证的密钥串，在不经过任何加密处理的情况下，直接发送到网络链路上进行传递。使用RIP明文认证的路由器，可能很容易被协议分析器轻松地捕获RIP明文认证的内容。关于使用RIP明文认证的数据帧如图6.65所示，可以清