原标题:"华为RIP路由配置教程有哪些命令"相关路由器设置经验分享。 - 来源:191路由网
路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。这篇文章主要介绍了华为RIP路由配置教程,需要的朋友可以参考下
一、RIP基础配置
1、配置RIP进程
全局进程
[Huawei]rip 10
VPN下的RIP进程
[Huawei]rip vpn-instance 1
RIP只在指定网段上的接口运行。对于不在指定网段上的接口,RIP既不在它上面接收和发送路由,也不将它的接口路由转发出去。因此,RIP启动后必须指定其工作网段。
2、配置RIP进程描述(可选)
[Huawei-rip-10]description test
3、禁止对RIP报文源地址检查(可选)
[Huawei-rip-10]undo verify-source
缺省情况下,使能了对收到的RIP路由更新报文进行源IP地址的检测,即检查发送报文的接口IP跟接收报文的IP地址是否在同一网段。如果不同,则该RIP报文不被设备处理。
但当在P2P网络中链路两端的IP地址属于不同网络时,只有取消报文的源地址检查,才能建立起正常的邻居关系。
4、指定RIP生效的网段(即宣告网络)。
[Huawei-rip-10]network 172.16.0.0
宣告时不带子网掩码,因为该地址必须是自然网段,不能是子网地址(与OSPF等不一样),如果路由器连接了一个自然段的多个子网,也只需用一条对应自然网段的命令使能RIP。一个接口只能与一个RIP进程相关联。
5、指定RIP邻居的IP地址(可选,仅用于NBMA网络)
[Huawei-rip-10]peer 172.16.0.1
通常情况下,RIP使用广播或组播地址发送报文。如果在不支持广播或组播报文的链路上运行RIP,则必须在链路两端手工相互指定RIP的邻居,这样报文就会以单播形式发送到对端。
通常情况下不推荐使用该命令,因为会造成对端同时收到同一报文的组播(或广播)和单播两种形式。因此在配置该命令时,通常使用silent-interface 命令将相关接口改为被动(silent)模式。
6、配置RIP版本号(可选)
全局版本
[Huawei-rip-10]version 2
接口下的版本号
[Huawei-GigabitEthernet0/0/2]rip version ?
1 RIP version 1 on interface
2 RIP version 2 on interface
接口版本与全局版本号不同时以接口版本号为准。
7、rip-2路由聚合配置
RIP-2是RIP version 2的简称,它与RIP-1的不同点在于,RIP-2支持可变长子网掩码VLSM(Variable Length Subnet Mask)和无类别域间路由CIDR(Classless Inter-Domain Routing),并支持验证功能,从而功能更加完善,安全性更高。
在RIP网络规模很大时,RIP路由表会变得十分庞大,存储路由表占用大量的设备内存资源,传输和处理路由信息需要占用大量的网络资源。
使用路由聚合可以大大减小路由表的规模;另外通过对路由进行聚合,隐藏一些具体的路由,可以减少路由震荡对网络带来的影响。
RIP支持两种聚合方式:自动路由聚合和手动路由聚合。自动聚合的路由优先级低于手动指定聚合的路由优先级。当需要将所有子网路由发布出去时,可关闭RIP-2的自动路由聚合功能。
缺省情况下,如果配置了水平分割或毒性反转,有类聚合将失效。因此在向自然网段边界外发送聚合路由时,相关视图下的水平分割和毒性反转功能都应关闭。
具体配置
7.1、配置RIPV2
[Huawei-rip-10]version 2
7.2、使能RIP有类自动路由聚合
[Huawei-rip-10]summary ?
always Route summarization always(总是、永远、一直)
执行命令summary always,不论水平分割和毒性反转是否使能,都可以使能RIP-2自动路由聚合,不使用此参数,则在配置水平分割或毒性反转后,有类聚合功能将失效。
7.3、配置接口下的RIP聚合路由(手动聚合)
[Huawei-GigabitEthernet0/0/2]rip summary-address 172.16.0.0 255.255.255.0 ?
avoid-feedback Avoid learning this summary route
avoid-feedback,表示禁止从此接口学习到相同的聚合路由,以免形成路由环路。
8、配置RIPv2报文认证方式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256 hmac-sha256 authentication
md5 MD5 authentication
simple Simple authentication
可以配ripv2报文的认证方式来提高rip网络的安全性。Ripv2支持对协议的认证分为简单认证和MD5认证。
Ripv2报文认证需要在具体的rip路由器接口上配置(两端密码需一致)。
二、RIP高级功能配置
1、配置rip防止路由环路(水平分割)。
[Huawei-GigabitEthernet0/0/2]rip split-horizon
只能在路由接口下配置,如果接口配置了从IP地址且使能了水平分割功能,则rip报文可能不会从每一个从IP发送出去,除非禁水平分割功能。如果接口与NBMA网络相连,缺省是水平分割功能被禁止。
2、配置rip防止路由环路(毒性反转)。
[Huawei-GigabitEthernet0/0/1]rip poison-reverse
只能在路由接口下配置。同时配了水平分割和毒性反转功能后,只有毒性反转功能生效。
3、rip协议优先级(可选)。
[Huawei-rip-10]preference 2
当多个路由协议发现目的地相同的路由时,通过配置RIP的协议优先级来改变路由协议的优先顺序。
4、配置接口的附近度量值
4.1、配置接口接收RIP路由更新报文时要给对应路由增加的度量值(可选)。
[Huawei-GigabitEthernet0/0/2]rip metricout 5
[Huawei-GigabitEthernet0/0/2]rip metricout acl-name test 10(度量值)
是指在rip路由原来的度量值基础上增加的度量值(跳数)。通过调整rip接口的附加度量值来影响路由的选择(值越小越优先)
配置该功能后,当该接口收到一条路由时,rip将接口接收权值附加到该路由上,再加入路由表中。所以,增加一个接口的的接收rip权值,该接口收到的rip路由权值也会相应增加。
acl-name命令用于指定用于接收路由信息过滤的acl号(仅支持基本acl)或名称或地址前缀(ip-prefix)列表名,用于对要接收的rip路由的目的IP地址过滤
4.2、配置接口发送RIP路由更新报文时要给对应路由增加的度量值(可选)
[Huawei-GigabitEthernet0/0/2]rip metricin ip-prefix test 1
rip metricin用于在接收到路由后,给其增加一个附加度量值,再加入路由表中,使得路由表中的度量值发生变化。运行该命令会影响到本地设备和其他设备的路由选择。
rip metricout用于自身路由的发布,发布时增加一个附加的度量值,但路由表中的度量值不会发生变化。运行该命令不会影响本地设备的路由选择,但是会影响其他设备的路由选择。
5、配置进行负载分担的最大等价路由条数(可选)
[Huawei-rip-10]maximum load-balancing 2
通过配置RIP最大等价路由条数,可以调整进行负载分担的路由数目。
6、配置当前设备生成一条缺省路由或将路由表中存在的缺省路由发送给邻居路由器。(可选-即配置发布缺省路由)
[Huawei-rip-1]default-route originate ?
cost 指定缺省路由的度量值
match 当当前路由表存在缺省路由或其他路由协议时,则向邻居发布该缺省路由
[avoid-learning] 当前路由中存在缺省路由时,则不引入其他缺省路由
route-policy Apply the specified route policy to filter route
在路由表中,缺省路由以到网络0.0.0.0(掩码也为0.0.0.0)的路由形式出现。当报文的目的地址不能与路由表的任何目的地址相匹配时,设备将选取缺省路由转发该报文。
7、禁止接口发送更新报文
通过配置禁止接口发送更新报文,可以防止路由环路。
禁止接口发送更新报文有两种实现方式:
在RIP进程下配置接口为抑制状态
在接口视图下禁止接口发送RIP报文
其中在RIP进程下配置接口为抑制状态的优先级要高于在接口视图下禁止接口发送RIP报文。
7.1、在RIP进程视图下配置
[Huawei-rip-1]silent-interface ?
GigabitEthernet GigabitEthernet interface #禁止一个接口发送更新报文
all All the interfaces
disable Override silent-interface configuration and make the interface active
该命令可以与peer ip-address命令协同使用,使抑制的接口仍可向指定的邻居路由器发布路由
7.2、在接口视图下配置
[Huawei-GigabitEthernet0/0/2]undo rip output
8、引入外部路由信息(可选)
8.1、配置引入路由的默认开销(可选)
[Huawei-rip-1]default-cost 2
如果在引入路由时没有指定度量值,则使用缺省度量值。
8.2、设置需要引入的外部路由
[Huawei-rip-1]import-route ?
bgp Border Gateway Protocol (BGP) routes
direct Direct routes
isis Intermediate System to Intermediate System (ISIS) routes
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User Network Route
[permit-ibgp] 指定公网实例下的rip进程可以引入IBGP路由
[Huawei-rip-2]import-route ospf ?
INTEGER<1-65535> Process ID # 引入路由的进程号 cost
Cost of the import route
route-policy Apply the specified route policy to filter route
RIP进程引入IBGP路由容易造成路由环路,请配置该功能前仔细确认。
8.3、在向外发布路由更新时对引入的路由信息进行过滤(可选)
[Huawei-rip-1]filter-policy ?
INTEGER<2000-2999> Apply basic ACL
acl-name Specify IP Access Control List (ACL) name for filtering routes
gateway Filter routes based on the distributing gateway
ip-prefix Specify IP prefix for filtering route
[Huawei-rip-1]filter-policy ip-prefix test ?
export Specify an export policy
gateway Filter routes based on the distributing gateway
import Specify an import policy
由于RIP要发布的路由信息中,有可能是引入的其他路由协议的路由信息,所以可通过指定protocol参数来对这些特定的路由信息进行过滤。如果没有指定protocol参数,则对所有要发布的路由信息进行过滤,包括引入的路由和本地RIP路由(相当于直连路由)。
RIP-2规定的Tag字段长度为16bits,其他路由协议的Tag字段长度为32bits。如果在引入其他路由协议时,应用的路由策略中使用Tag,则应确保Tag值不超过65535,否则将导致路由策略失效或者产生错误的匹配结果。
9、禁止接口接收rip报文
[Huawei-GigabitEthernet0/0/2]undo rip input
通过配置禁止接口接收更新报文,可以防止路由环路。
10、禁止接收主机路由
在某些特殊情况下,交换机会收到大量来自同一网段的RIP的32位主机路由,这些路由对于路由寻址没有多少作用,却占用了大量网络资源。配置了禁止主机路由功能后,交换机能够拒绝它所收到的主机路由。
[Huawei-rip-1]undo host-route
相关阅读:路由器安全特性注意点
由于路由器是网络中比较关键的设备,针对网络存在的各种安全隐患,路由器必须具有如下的安全特性:
(1)可靠性与线路安全 可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说,可靠性主要体现在接口故障和网络流量增大两种情况下,为此,备份是路由器不可或缺的手段之一。当主接口出现故障时,备份接口自动投入工作,保证网络的正常运行。当网络流量增大时,备份接口又可承当负载分担的任务。
(2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。
(3)访问控制对于路由器的访问控制,需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。
(4)信息隐藏与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址,只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。
(5)数据加密
为了避免因为数据窃听而造成的信息泄漏,有必要对所传输的信息进行加密,只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密,即使在Internet上进行传输,也能保证数据的私有性、完整性以及报文内容的真实性。
(6)攻击探测和防范
路由器作为一个内部网络对外的接口设备,是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测和防范,则也是攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测,可以防止一部分的攻击。