2.1 RIPv1和v2综合实验要目标:
ü避免重复的去描述思科官方教材中已经描述过的知识和配置方法
ü使用RIP的综合知识来分解实验题目,启发逆向思维试
ü补充常规学习中容易忽略的知识点以及故障排除
ü让CCNP阶段的学习者开始慢慢适应将来的CCIE实验室考试方式
2.1.1RIP综合实验环境图与配置原则
实验环境如图2.1所示:
配置必须遵守的事项:
1 如果没有特别申请,禁止使用静态路由、再发布等技术。
2 不允许使用需求中明确禁止的技术来完成实验
3 只能在规定的划分区域运行允许的路由协议。
4 如果环境中出现了串行链路可自行决定配置DCE的接口。
注意:如果不遵守上述原则将失去本实验训练的价值,而且每一个题目中都藏有相关的解题技巧和故障,所以建意实验者认真体会。
2.1.2 RIP综合实验的需求
1 要求在192.168.3.0的广播型多路访问网络上,完成RIP的单播更新,完成单播更新后,R1的路由表必须如下图2.2所示,到达40.40.40.0子网的跳数必须是2;不允许使用offset指令来改变跳数,完成整个配置后,通过show ip route和debug确认单播更新。
2确保R1和R5之间运行RIPv1,要求R1必须通过RIPv1版本成功的学习到50.50.50.0/30的网络,不允许在R1的RIP路由进程中使用version 1指令,事实上此时R1启动的是RIPv2
;不允许在R1和R5的链路上删除172.16.1.1和172.16.1.2的地址,但是同时要求确保R1成功学习到R5的路由。
3 不允许50.50.50.0/30被扩散到除R1之外的所有路由器上,确保R2、R3、R4不能学习到50.50.50.0/30子网,要求只能将配置做在R1上,不能使用任何路由分发列表、过滤策略来完成,不允许在R5上使用被动接口,但是允许你使用RIP的某个特性来完成配置。
4 按照题目的要求配置R1与R2之间的两根点对点的串行链路,注意R2的S2/1不配置明确的IP地址,要求R2的S2/1使用ip unnumbered技术向R2的E1/1借用IP地址,而R2的E1/1接口没有连接任何物理线路,所以你要设法让E1/1在没有连接任何线路的情况下使它的管理属性和链路属性都是“up”。然后在两根串行链路上启动RIPv2并且确保RIPv2的运行正常,如果出现故障请排除,但是不能使用明确的IP地址去替代ip unnumbered技术来排除故障,只能使用RIP的特性来排除故障。
5要求R1到目标子网20.20.20.0/24有三条等价的路径来完成负载均衡,且只能允许最多三条等价路径,不允许应试者向网络增加物理链路、配置路由图或者其它策略要解决,只允许在RIP路由模式下通过配置RIP的特性来完成。
6 要求192.168.4.0/24子网的R3以单播的方式发送RIPv2的路由更新,但是不允许使用passive interface和neighbor指令完成配置,请选择一种IP高级服务特性来完成配置,必须在R3上完成配置。
7 要求R2、R3、R4能与50.50.50.1相互ping通;不允许使用IP route指令来增加静态路由,不允许在R5兼容RIPv2(也就是说R5必须配置为v1版本),不允许任何路由再发布,或者增加新的路由协议。
2.1.3分析演示:如何使用单播更新解题
题目要求:在192.168.3.0的广播型多路访问网络上,完成RIP的单播更新,完成单播更新后,R1的路由表必须如图2.2所示,到达40.40.40.0子网的跳数必须是2;不允许使用offset指令来改变跳数,完成整个配置后,通过show ip route和debug确认单播更新。
解题关键思路:要求在R1的路由表中到达40.40.40.0子网的跳数必须是2,这暗示实验应答者合理的选择单播更新的路径,要让到达40.40.40.0子网的跳数必须是2,那么路由单播更新的路径必须是R4-R3-R1;这样才能保证R1学到40.40.40.0子网是2跳的度量值;同时由于执行单播更新后R3的E1/1既要从R4接受40.40.40.0的子网,又要将该子网从E1/1单播公告给R1,因为R3是整个单播更新的中心节点路由器;所以在该接口上必须关闭水平分割功能,否则路由更新会失败。
路由器R4的配置:
router rip
version 2
passive-interface default *将所有接口配置为被动接口,只接收路由不主动发送路由更新
network 40.0.0.0
network 192.168.3.0
neighbor 192.168.3.3 * 向单播地址192.168.3.3发送单播更新
no auto-summary
路由器R3的配置
router rip
version 2
passive-interface default *将所有接口配置为被动接口,只接收路由不主动发送路由更新
network 192.168.3.0
neighbor 192.168.3.1 * 向单播地址192.168.3.1(R1)发送单播更新
neighbor 192.168.3.4 * 向单播地址192.168.3.4(R4)发送单播更新
no auto-summary
interfaceEthernet1/1
ip address 192.168.3.3 255.255.255.0
no ip split-horizon * 在路由器R3的E1/1接口关闭水平分割
路由器R1的配置
routerrip
version 2
passive-interfacedefault
network 192.168.3.0
neighbor 192.168.3.3 * 向单播地址192.168.3.3(R3)发送单播更新
no auto-summary
使用debug难证RIP的单播更新:
R3#debug ip ripevents
RIP event debuggingis on
*Mar 2303:56:23.723: RIP: sending v2 flash updateto 192.168.3.1 via Ethernet1/ 1 (192.168.3.3)
*Mar 2303:56:23.727: RIP: sending v2 flashupdate to 192.168.3.4 via Ethernet1/ 1 (192.168.3.3)
2.1.4分析演示:如何让RIPv2兼容RIPv1的解题
题目要求:确保R1和R5之间运行RIPv1,要求R1必须通过RIPv1版本成功的学习到50.50.50.0/30的网络,不允许在R1的RIP路由进程中使用version 1指令,事实上此时R1启动的是RIPv2;不允许在R1和R5的链路上删除172.16.1.1和172.16.1.2的地址,但是同时要求确保R1成功学习到R5的路由。
解题关键思路:该试题藏有2个知识点:第一在路由器R1上E1/0上启动接收RIPv1版本的广播更新,这样才能保证启动RIPv2的R1能学到50.0.0.0/8的网络,但是注意题目要求的是50.50.50.0/30的网络,所以这明显不符合题目的要求,第二就是如何设法让RIPv1域中支持VLSM,关于在允许的配置情况下如何让其变为50.50.50.0/30的网络将在2.1.5分析演示:解题过程中使用连续的子网让RIPv1支持VLSM做分析。
路由器R1的配置
interfaceEthernet1/0
ip rip receiveversion 1
2.1.5分析演示:解题过程中使用连续的子网让RIPv1支持VLSM
解题关键思路:根据RIPv1支持连续VLSM形式的原则,所以在路由器R1的E1/0接口上加入一个从地址(第2地址)50.50.50.6/30;同理为R5的E1/0加入第2地址50.50.50.5/30,即可让R1通过RIPv1学到50.50.50.0/30,因为题目要求不允许替换R1和R5原有的IP,所以为了满足解题原则,又能达到解题目标,使用了第二地址的知识点。为什么RIPv1能支持连接VLSM具体原因如下:
RIPv1的更新消息中由于不携带子网掩码信息,所以肯定是不支持VLSM。但是在连续的VLSM的规划环境中,路由器在发送RIPv1更新时会做如下行为:首先路由器R5将50.50.50.0/30这个子网与R5的RIP更新源接口(E1/0)上的IP地址50.50.50.5/30的子网作一个对比,如果被更新的子网50.50.50.0/30和与E1/0的IP(50.50.50.5/30)在同一个主类网络中,就发送更新,如果不在一个主类网络中就不发送更新。很明显,该实验的更新子网50.50.50.0/30与R5的更新源接口地址50.50.50.4/30是属于同一个主类网络50.0.0.0。所以路由器R5上的50.50.50.0/30可以被RIPv1所更新。这就得到一个结论:只要是连续的VLSM子网,没有被其他主类网络所间隔,那么它们将被RIPv1更新。
路由器R1的配置
interfaceEthernet1/0
ip address50.50.50.6 255.255.255.252 secondary * 加入支持连接VLSM的第二地址
ip address 172.16.1.2 255.255.255.0
ip rip receive version 1
router rip
version 2
passive-interface default
no passive-interface Ethernet1/0
network 50.0.0.0
network 172.16.0.0
no auto-summary
路由器R5的配置:
interfaceEthernet1/0
ipaddress 50.50.50.5 255.255.255.252 secondary * 加入支持连接VLSM的第二地址
ip address 172.16.1.1 255.255.255.0
router rip
version 1
network 50.0.0.0
network 172.16.0.0
2.1.6分析演示:使用offset-list特性防止RIP路由扩散到整个网络
题目要求:不允许50.50.50.0/30被扩散到除R1之外的所有路由器上,确保R2、R3、R4不能学习到50.50.50.0/30子网,要求只能将配置做在R1上,不能使用任何路由分发列表、过滤策略来完成,不允许在R5上使用被动接口,但是允许你使用RIP的某个特性来完成配置。
解题关键思路:被动接口技术能让路由不被更新出去,但是题目明确要求不允许使用被动接口,所以要让R5后面的50.50.50.0/30不被发送到整个RIP网络中,只有通过RIP的特性来限制它被发送,RIP的路由最多经历15跳,从R5到R1已经有1跳了,所以使用offset-list再给它追加14跳,共计就是15跳,那么R1肯定不会将50.50.50.0/30发给任何路由器,具体配置如下:
路由器R1的配置:
router rip
version 2
offset-list 1 out 14Ethernet1/1 * 从E1/1更新路由时追加14跳
offset-list 1 out 14 Serial2/0 * 从S2/0更新路由时追加14跳
offset-list 1 out 14 Serial2/1 * 从S2/1更新路由时追加14跳
access-list 1 permit 50.0.0.00.255.255.255 * 使用ACL定义要被追加跳数的子网
2.1.7分析演示:使用no keeplive和放弃RIP更新源检测来解题
题目要求:配置R1与R2之间的两根点对点的串行链路,注意R2的S2/1不配置明确的IP地址,要求R2的S2/1使用ip unnumbered技术向R2的E1/1借用IP地址,而R2的E1/1接口没有连接任何物理线路,所以你要设法让E1/1在没有连接任何线路的情况下使它的管理属性和链路属性都是“up”。然后在两根串行链路上启动RIPv2并且确保RIPv2的运行正常,如果出现故障请排除,但是不能使用明确的IP地址去替代ip unnumbered技术来排除故障,只能使用RIP的特性来排除故障。
解题关键思路:由于路由器R2需要在S2/1使用ip unnumbered技术向R2的E1/1借用IP地址,而E1/1接口没有连接任何物理线路,要设法让E1/1在没有连接任何线路的情况下使它的管理属性和链路属性都是“up”。首先得在R2的E1/1接口上禁用keepalive功能(no keepalive),然后再no shutdown该接口,这样可以保证E1/1在没有连接任何线路的情况下使它的管理属性和链路属性都是“up”。必须首先扫出这个答题的障碍,才能引出第二个故障,执行RIP更新时的更新源故障。
路由器R1的配置:
interface Serial2/0
ip address 192.168.2.1 255.255.255.252
encapsulation ppp
bandwidth 64
clock rate 64000
interface Serial2/1
ip address 192.168.2.5 255.255.255.252
encapsulation ppp
bandwidth 128
clock rate 128000
router rip
version 2
passive-interface default
no passive-interface Serial2/0
no passive-interface Serial2/1
network 192.168.2.0
路由器R2的配置:
interface Loopback1
ipaddress 20.20.20.1 255.255.255.0
interface Ethernet1/1
ipaddress 192.168.100.1 255.255.255.0
nokeepalive * 关闭keepalive,保证E1/1没连接任何物理线揽也能UP
interface Serial2/0
bandwidth 64
ip address 192.168.2.2 255.255.255.252
encapsulation ppp
interface Serial2/1
bandwidth 128
ipunnumbered Ethernet1/1 * 指示S2/1接口向E1/1借IP地址
encapsulation ppp
routerrip
version 2
network 20.0.0.0
network 192.168.2.0
network192.168.100.0
no auto-summary
通过上面的配置后,在路由器R1上查看路由表,如图2.4所示,明明应该有两条路径(分别通过R2的S2/0和S2/1)到达20.20.20.0/24这个子网, 现在只有一条路径(R2的S2/0 192.168.2.2)来到达20.20.20.0/24,是什么原因造成的这个故障。
现在通过在路由器R1上debugRIP的事件,如下所示,可以看到一个提示:路由器R1从S2/1接口收到一个以192.168.100.1发过来的“坏的”更新源。原因很明显:因为路由器R1上默认是启动了更新源检测功能的,由于R1的S2/1上有明确的IP地址192.168.2.5/30,那么合法的更新源地址应该是192.168.2.6/30,但是由于R2上在S2/1上使用了ip unnumbered技术向R2的E1/1借用IP地址,最终R2的S2/1将借来的IP192.168.100.1用于执行RIP路由更新的源地址,所以该地址和R1的S2/1IP地址192.168.2.5/30不在同一个子网,那么,此时检测更新源的结果是失败,所以R1不接收R2的S2/1发来的RIP路由更新,解决方案是在R1上关闭validate-update-source(有效性更新源)检测功能,即可解决故障。
R1#debug ip rip events
*Mar 24 23:44:58.611: RIP: ignored v2 updatefrom badsource 192.168.100.1 on Serial2/1
在路由器R1上的配置:
R1(config)#router rip
R1(config-router)#no validate-update-source *关闭合法性更新源检测功能
当完成上述配置后,再次到R1查看路由表,如图2.5所示:路由器R1成功通过S2/0和S2/1学到两个路径的RIP路由
2.1.8分析演示:使用offset-list完成等价负载均衡的试题
题目要求: R1到目标子网20.20.20.0/24有三条等价的路径来完成负载均衡,且只能允许最多三条等价路径,不允许应试者向网络增加物理链路、配置路由图或者其它策略要解决,只允许在RIP路由模式下通过配置RIP的特性来完成。
解题关键思路:该题的核心思想是在于在现在两条等价路径中再增加一条等价路径,事实上就是通过R2-R3-R1的关于20.20.20.0/24位的等价路径,然后再到RIP的进程中确保有且只能有三条等价负载均衡的路径,也就是说现在R1通过S2/0和S2/1接口学习到20.20.20.0/24的度量值是1,而通过R2-R3-R1的度量值是2,所以只要需要使用offset-list列表将R1通过S2/0和S2/1接口学习到20.20.20.0/24度量值再追加一个1就可以形成,三条等价路径,然后再到RIP进程中使用maximum-paths 3指令确保有且只能是三条等价负载均衡的路径就可以满足题意,此实验题相对简单,具体配置如下所示:当完成配置后,R1应该可以获得如图2.6所示的路由表。
提示:关于题目中R1和R2之间的串行链路被配置了带宽分别是64K和128K,根本不会影响实验者答题,因为:RIP的路由度量值,永远不参考带宽,这只是诱导答题的一个假象。
路由器R1的配置:
router rip
version 2
maximum-paths 3 * 定义最大的等价等价负载均衡的路径为3
offset-list2 in 1 Serial2/0 * 将ACL列表2所申明了子网进入S2/0接口时追加1跳
offset-list 2 in 1 Serial2/1 * 将ACL列表2所申明了子网进入S2/1接口时追加1跳
access-list2 permit 20.20.20.0 0.0.0.255 * 定义ACL申明要追加跳数的子网
2.1.9分析演示:使用NAT完成RIP单播更新的方案
题目要求:192.168.4.0/24子网的R3以单播的方式发送RIPv2的路由更新,但是不允许使用passive interface和neighbor指令完成配置,请选择一种IP高级服务特性来完成配置,必须在R3上完成配置。
解题关键思路:原本思科官方要求执行的单播更新,都会使用passive interface和neighbor指令,这已经是一种惯行思考行为模式,现在就是要求应该者破出这种惯性思考,选择一种IP高级服务特性来完成,那么NAT将是一个非常不错的选择,在使用NAT解此题之前,答题者,必须清晰的能区别NAT的内部本地、内部全局、外部本地、外部全局的地址类型。
路由器R3的配置:
interface Ethernet1/0
ip address192.168.4.2 255.255.255.0
ip natoutside * 在成功时解内部本地、内部全局、外部本地、外部全局后在E1/0上启动外向翻译
ip nat outside source static udp 192.168.4.1 520224.0.0.9 520 *将224.0.0.9转换为192.168.4.1
2.1.10分析演示:使用RIP的默认路由和本地的PBR解决通信的问题
题目要求:要求R2、R3、R4能与50.50.50.1相互ping通;不允许使用IP route指令来增加静态路由,不允许在R5兼容RIPv2(也就是说R5必须配置为v1版本),不允许任何路由再发布,或者增加新的路由协议。
解题关键思路:该试题的问题是构建在问题3之上,在问题3中,你成功的使用了offset-list将50.50.50.0/24的RIP度量值追加累积到15跳,此时,路由器R2、R3、R4根本无法学到50.50.50.0/24的路由,所以不可能ping通该网络,那么要解决这个问题的方案有很多种,可以使用静态路由,或者让R5兼容RIPv2,或者运行其它的路由协议、再发布等,但是都被解答要求所明确禁止,所以最可取的方案是在路由器R1上为RIPv2的路由域自动公告一条默认路由,然后v2路由域中的R2、R3、R4都会学到一条0.0.0.0的默认路由,那么当它们需要到达50.50.50.0/24时,在路由表中如果没有具体可以匹配的路由记录,那么最终它们将使用默认路由来转发目标为50.50.50.0/24的数据包,当数据包到达R1后,R1是具备50.50.50.0/24的路由记录的,因为试题的第2问,要求R1学到,所以R1可以成功的将数据包转发给R5,最终数据包成功的到达R5上的目标子网。
但是应试者需要注意,通信的过程是一个会话过程,所谓会话过程,就是“有去还必须有回”所以还必须思考:如何让R5将回应的数据返回给路由器R2、R3、R4,在满足题目的要求下,在R5上执行本地能生效的PBR将是一个不错的选择,只需要定义源地址是50.0.0.0/8或者50.50.50.0/24,目标地址为任何的流量,强制下一跳为R1的E1/0地址172.16.1.2,那么返回的数据包就能到达R1,然后R1上具备整个RIPv2路由域的具体路由,所以最终数据能成功的返回到路由器R2、R3、R4。具体配置如下所示:
路由器R1的配置:
router rip
version 2
default-information originate * 向RIPv2路由域发送默认路由
路由器R5的配置:
route-map toanynet permit 1
match ipaddress 101 * 匹配ACL101
set ip next-hop 172.16.1.2 * 当成功匹配ACL101后强制一下跳为172.16.1.2(R1的E1/0接口IP)
route-map toanynet permit 2 * 那此不没有ACL101定义的流量则匹配策略2的空内容
access-list 101 permit ip 50.0.0.0 0.255.255.255any * 申请要强制下一跳的流量
iplocal policy route-map toanynet * 在路由器R5上使用本地的PBR策略toanynet
提示:该题目主要是考查在有限制的条件下,你如何达到通信的目标,必须注意通信是一个双向的过程,所以应该者必须从两个方向来思考解法,同时要满足题意,另外:在R5上的PBR只能是应用于本地:ip local policy route-map toanynet,因为ip local能让本地路由器R5产生的流量生效,这一点很关键,否则不得分。
针对该试题的解法可能提出的问题:
曾经有人这样问过我:“感觉在R5上完成本地PBR的作用,就是在为R5配置一个默认网关,那么为什么不在R5上使用ipdefault gateway 172.16.1.2,感觉这样还简单些?”
在解答该试题时,不能在R5上使用ip default gateway 172.16.1.2,因为R5上运行了RIPv1,因为ip default gateway只能在路由器的路由功能丧失或者手工执行了no ip routing(关闭路由转发功能)的情况下,配置默认网关,所以不能满足答题要求!
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1392627,如需转载请自行联系原作者
