一、RIP基礎配置
1、配置RIP進程
全局進程
[Huawei]rip 10
VPN下的RIP進程
[Huawei]rip vpn-instance 1
RIP只在指定網段上的接口運行。對於不在指定網段上的接口,RIP既不在它上面接收和發送路由,也不將它的接口路由轉發出去。因此,RIP啟動後必須指定其工作網段。
2、配置RIP進程描述(可選)
[Huawei-rip-10]description test
3、禁止對RIP報文源地址檢查(可選)
[Huawei-rip-10]undo verify-source
缺省情況下,使能了對收到的RIP路由更新報文進行源IP地址的檢測,即檢查發送報文的接口IP跟接收報文的IP地址是否在同一網段。如果不同,則該RIP報文不被設備處理。
但當在P2P網絡中鏈路兩端的IP地址屬於不同網絡時,只有取消報文的源地址檢查,才能建立起正常的鄰居關係。
4、指定RIP生效的網段(即宣告網絡)。
[Huawei-rip-10]network 172.16.0.0
宣告時不帶子網掩碼,因為該地址必須是自然網段,不能是子網地址(與OSPF等不一樣),如果路由器連接了一個自然段的多個子網,也只需用一條對應自然網段的命令使能RIP。一個接口只能與一個RIP進程相關聯。
5、指定RIP鄰居的IP地址(可選,僅用於NBMA網絡)
[Huawei-rip-10]peer 172.16.0.1
通常情況下,RIP使用廣播或組播地址發送報文。如果在不支持廣播或組播報文的鏈路上運行RIP,則必須在鏈路兩端手工相互指定RIP的鄰居,這樣報文就會以單播形式發送到對端。
通常情況下不推薦使用該命令,因為會造成對端同時收到同一報文的組播(或廣播)和單播兩種形式。因此在配置該命令時,通常使用silent-interface 命令將相關接口改為被動(silent)模式。
6、配置RIP版本號(可選)
全局版本
[Huawei-rip-10]version 2
接口下的版本號
[Huawei-GigabitEthernet0/0/2]rip version ?
1 RIP version 1 on interface
2 RIP version 2 on interface
接口版本與全局版本號不同時以接口版本號為準。
7、rip-2路由聚合配置
RIP-2是RIP version 2的簡稱,它與RIP-1的不同點在於,RIP-2支持可變長子網掩碼VLSM(Variable Length Subnet Mask)和無類別域間路由CIDR(Classless Inter-Domain Routing),並支持驗證功能,從而功能更加完善,安全性更高。
在RIP網絡規模很大時,RIP路由表會變得十分龐大,存儲路由表佔用大量的設備內存資源,傳輸和處理路由信息需要佔用大量的網絡資源。
使用路由聚合可以大大減小路由表的規模;另外通過對路由進行聚合,隱藏一些具體的路由,可以減少路由震盪對網絡帶來的影響。
RIP支持兩種聚合方式:自動路由聚合和手動路由聚合。自動聚合的路由優先級低於手動指定聚合的路由優先級。當需要將所有子網路由發佈出去時,可關閉RIP-2的自動路由聚合功能。
缺省情況下,如果配置了水平分割或毒性反轉,有類聚合將失效。因此在向自然網段邊界外發送聚合路由時,相關視圖下的水平分割和毒性反轉功能都應關閉。
具體配置
7.1、配置RIPV2
[Huawei-rip-10]version 2
7.2、使能RIP有類自動路由聚合
[Huawei-rip-10]summary ?
always Route summarization always(總是、永遠、一直)
執行命令summary always,不論水平分割和毒性反轉是否使能,都可以使能RIP-2自動路由聚合,不使用此參數,則在配置水平分割或毒性反轉後,有類聚合功能將失效。
7.3、配置接口下的RIP聚合路由(手動聚合)
[Huawei-GigabitEthernet0/0/2]rip summary-address 172.16.0.0 255.255.255.0 ?
avoid-feedback Avoid learning this summary route
avoid-feedback,表示禁止從此接口學習到相同的聚合路由,以免形成路由環路。
8、配置RIPv2報文認證方式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256 hmac-sha256 authentication
md5 MD5 authentication
simple Simple authentication
可以配ripv2報文的認證方式來提高rip網絡的安全性。Ripv2支持對協議的認證分為簡單認證和MD5認證。
Ripv2報文認證需要在具體的rip路由器接口上配置(兩端密碼需一致)。
二、RIP高級功能配置
1、配置rip防止路由環路(水平分割)。
[Huawei-GigabitEthernet0/0/2]rip split-horizon
只能在路由接口下配置,如果接口配置了從IP地址且使能了水平分割功能,則rip報文可能不會從每一個從IP發送出去,除非禁水平分割功能。如果接口與NBMA網絡相連,缺省是水平分割功能被禁止。
2、配置rip防止路由環路(毒性反轉)。
[Huawei-GigabitEthernet0/0/1]rip poison-reverse
只能在路由接口下配置。同時配了水平分割和毒性反轉功能後,只有毒性反轉功能生效。
3、rip協議優先級(可選)。
[Huawei-rip-10]preference 2
當多個路由協議發現目的地相同的路由時,通過配置RIP的協議優先級來改變路由協議的優先順序。
4、配置接口的附近度量值
4.1、配置接口接收RIP路由更新報文時要給對應路由增加的度量值(可選)。
[Huawei-GigabitEthernet0/0/2]rip metricout 5
[Huawei-GigabitEthernet0/0/2]rip metricout acl-name test 10(度量值)
是指在rip路由原來的度量值基礎上增加的度量值(跳數)。通過調整rip接口的附加度量值來影響路由的選擇(值越小越優先)
配置該功能後,當該接口收到一條路由時,rip將接口接收權值附加到該路由上,再加入路由表中。所以,增加一個接口的的接收rip權值,該接口收到的rip路由權值也會相應增加。
acl-name命令用於指定用於接收路由信息過濾的acl號(僅支持基本acl)或名稱或地址前綴(ip-prefix)列表名,用於對要接收的rip路由的目的IP地址過濾
4.2、配置接口發送RIP路由更新報文時要給對應路由增加的度量值(可選)
[Huawei-GigabitEthernet0/0/2]rip metricin ip-prefix test 1
rip metricin用於在接收到路由後,給其增加一個附加度量值,再加入路由表中,使得路由表中的度量值發生變化。運行該命令會影響到本地設備和其他設備的路由選擇。
rip metricout用於自身路由的發佈,發佈時增加一個附加的度量值,但路由表中的度量值不會發生變化。運行該命令不會影響本地設備的路由選擇,但是會影響其他設備的路由選擇 。
5、配置進行負載分擔的最大等價路由條數(可選)
[Huawei-rip-10]maximum load-balancing 2
通過配置RIP最大等價路由條數,可以調整進行負載分擔的路由數目。
6、配置當前設備生成一條缺省路由或將路由表中存在的缺省路由發送給鄰居路由器。(可選-即配置發佈缺省路由)
[Huawei-rip-1]default-route originate ?
cost 指定缺省路由的度量值
match 噹噹前路由表存在缺省路由或其他路由協議時,則向鄰居發佈該缺省路由
[avoid-learning] 當前路由中存在缺省路由時,則不引入其他缺省路由
route-policy Apply the specified route policy to filter route
在路由表中,缺省路由以到網絡0.0.0.0(掩碼也為0.0.0.0)的路由形式出現。當報文的目的地址不能與路由表的任何目的地址相匹配時,設備將選取缺省路由轉發該報文。
7、禁止接口發送更新報文
通過配置禁止接口發送更新報文,可以防止路由環路。
禁止接口發送更新報文有兩種實現方式:
在RIP進程下配置接口為抑制狀態
在接口視圖下禁止接口發送RIP報文
其中在RIP進程下配置接口為抑制狀態的優先級要高於在接口視圖下禁止接口發送RIP報文。
7.1、在RIP進程視圖下配置
[Huawei-rip-1]silent-interface ?
GigabitEthernet GigabitEthernet interface #禁止一個接口發送更新報文
all All the interfaces
disable Override silent-interface configuration and make the interface active
該命令可以與peer ip-address命令協同使用,使抑制的接口仍可向指定的鄰居路由器發佈路由
7.2、在接口視圖下配置
[Huawei-GigabitEthernet0/0/2]undo rip output
8、引入外部路由信息(可選)
8.1、配置引入路由的默認開銷(可選)
[Huawei-rip-1]default-cost 2
如果在引入路由時沒有指定度量值,則使用缺省度量值。
8.2、設置需要引入的外部路由
[Huawei-rip-1]import-route ?
bgp Border Gateway Protocol (BGP) routes
direct Direct routes
isis Intermediate System to Intermediate System (ISIS) routes
ospf Open Shortest Path First (OSPF) routes
rip Routing Information Protocol (RIP) routes
static Static routes
unr User Network Route
[permit-ibgp] 指定公網實例下的rip進程可以引入IBGP路由
[Huawei-rip-2]import-route ospf ?
INTEGER<1-65535> Process ID # 引入路由的進程號 cost
Cost of the import route
route-policy Apply the specified route policy to filter route
RIP進程引入IBGP路由容易造成路由環路,請配置該功能前仔細確認。
8.3、在向外發佈路由更新時對引入的路由信息進行過濾(可選)
[Huawei-rip-1]filter-policy ?
INTEGER<2000-2999> Apply basic ACL
acl-name Specify IP Access Control List (ACL) name for filtering routes
gateway Filter routes based on the distributing gateway
ip-prefix Specify IP prefix for filtering route
[Huawei-rip-1]filter-policy ip-prefix test ?
export Specify an export policy
gateway Filter routes based on the distributing gateway
import Specify an import policy
由於RIP要發佈的路由信息中,有可能是引入的其他路由協議的路由信息,所以可通過指定protocol參數來對這些特定的路由信息進行過濾。如果沒有指定protocol參數,則對所有要發佈的路由信息進行過濾,包括引入的路由和本地RIP路由(相當於直連路由)。
RIP-2規定的Tag字段長度為16bits,其他路由協議的Tag字段長度為32bits。如果在引入其他路由協議時,應用的路由策略中使用Tag,則應確保Tag值不超過65535,否則將導致路由策略失效或者產生錯誤的匹配結果。
9、禁止接口接收rip報文
[Huawei-GigabitEthernet0/0/2]undo rip input
通過配置禁止接口接收更新報文,可以防止路由環路。
10、禁止接收主機路由
在某些特殊情況下,交換機會收到大量來自同一網段的RIP的32位主機路由,這些路由對於路由尋址沒有多少作用,卻佔用了大量網絡資源。配置了禁止主機路由功能後,交換機能夠拒絕它所收到的主機路由。
[Huawei-rip-1]undo host-route
11、配置RIP對接收路由進行過濾
基於acl
[Huawei-rip-1]filter-policy 2010 import GigabitEthernet 0/0/2
基於發佈網關(發佈對應流入路由的網關)
[Huawei-rip-1]filter-policy gateway test import
基於目的地址前綴和基於鄰居的過濾
[Huawei-rip-1]filter-policy ip-prefix test gateway test1 import GigabitEthernet 0/0/2
如果不指定接口,則所有符合地址前綴列表條件或同時符合網關地址前綴列表條件的路由都將接收。
12、調整rip三個定時器
有三個定時器,update、age、garbage-collect。這個三個定時器需遵循update RIP定時器的值在更改後立即生效。 如果這三個定時器的值配置不當,會引起路由不穩定。它們的配置值關係是:update<age,update<garbage-collect。 例如,如果更新時間大於失效時間,那麼在更新時間內,如果RIP路由發生變化,交換機將無法及時通知鄰居。 定時器值的調整應考慮網絡的性能,並在所有運行RIP的設備上進行統一配置,以免增加不必要的網絡流量或引起網絡路由震盪。 缺省情況下,Update定時器是30秒,Age定時器是180秒,Garbage-collect定時器則是Update定時器的4倍,即120秒。
在實際應用中,Garbage-collect定時器的超時時間並不是固定的,當Update定時器設為30秒時,Garbage-collect定時器可能在90到120秒之間。
這是因為:RIP在將不可達路由從路由表中徹底刪除前,將通過發送4次定時更新報文對外發布這條路由(發送時權值設為16),從而使所有鄰居瞭解這條路由已經處於不可達狀態。由於路由變為不可達狀態並不總是恰好在一個更新週期的開始,因此,Garbage-collect定時器的實際時長是Update定時器的3~4倍。
具體配置
[Huawei-rip-1]timers rip 10 20 40
13、配置rip報文發送間隔和最大報文發送數量
[Huawei-GigabitEthernet0/0/2]rip pkt-transmit interval 60 number 100
通過設置RIP發送更新報文的時間間隔和每次發送報文的最大數量,可以很好的控制交換機用於處理RIP更新報文的內存資源。
14、配置ripv2報文驗證模式
[Huawei-GigabitEthernet0/0/2]rip authentication-mode ?
hmac-sha256
md5 MD5 authentication
simple Simple authentication
15、在接口使能replay-protect(默認不使能,配置本功能需要在14步中配位MD5驗證模式)
通過使能Replay-protect(保護)功能,可以得到接口Down之前所發送RIP報文的Identification(標識符),避免雙方的RIP路由信息不同步、丟失。其中Identification是IP數據報中的標識字段。
假設運行RIP的接口狀態變為Down之前發送的最後的RIP報文的Identification為X,該接口狀態變為Up後,再次發送RIP報文的Identification會變為0。
如果對方沒有收到這個Identification為0的RIP報文,那麼後續的RIP報文都將被丟棄,直到收到Identification為X+1的RIP報文。這樣就會導致雙方的RIP路由信息不同步、丟失。
通過使能Replay-protect功能,當接口從Down變為Up之後,再次發送RIP報文的Identification會順次加一,從而避免了上述情況的發生。
具體配置
[Huawei-GigabitEthernet0/0/2]rip replay-protect
16、設置RIP對更新報文進行有效性檢查
通過RIP對更新報文進行有效性檢查,可以提高網絡安全性。該有效性檢查包括RIP-1報文的零域檢查和RIP更新報文的源地址檢查兩種。
RIP-1報文中的有些字段必須為零,稱之為零域。RIP-1在接收報文時將對零域進行檢查,若RIP-1報文中零域的值不為零,該報文將不被處理。
RIP在接收報文時將對源IP地址進行檢查,即檢查發送報文的接口IP地址與接收報文接口的IP地址是否在同一網段。如果沒有通過檢查,則該RIP報文將不被交換機處理。
16.1、使能對ripv1報文中的零域進行檢查(默認使能)
[Huawei-rip-1]checkzero
16.2、使能對rip收到的更新報文進行源IP檢查(默認使能)
[Huawei-rip-1]verify-source
17、RIP與動態BFD聯動配置
配置RIP與動態BFD聯動有兩種方式:
RIP進程下使能BFD,當網絡中大部分RIP接口需要使能RIP與動態BFD聯動時,建議選擇此方式。
RIP接口下使能BFD,當網絡中只有小部分RIP接口需要使能RIP與動態BFD聯動時,建議選擇此方式。
具體配置
RIP進程下配置:
[Huawei]bfd
[Huawei-bfd]q
[Huawei-rip-1]bfd all-interfaces enable
[Huawei-rip-1]bfd all-interfaces ?
detect-multiplier 配置探測乘法器次數
enable 在這個進程上使能BFD
min-rx-interval 配置最小接收間隔時間
min-tx-interval 配置最小發送間隔時間
[Huawei-rip-1]bfd all-interfaces min-rx-interval ?
INTEGER<100-1000> 最小接收間隔時間(毫秒)
[Huawei-rip-1]bfd all-interfaces min-rx-interval 200 ?
detect-multiplier 配置探測乘法器次數
min-tx-interval 配置最小發送間隔時間
[Huawei-rip-1]bfd all-interfaces min-rx-interval 200 detect-multiplier 5 ?
min-tx-interval 配置最小發送間隔時間
對於網絡可靠性要求較高的鏈路,可以通過配置減小BFD報文實際發送時間間隔;
對於網絡可靠性要求較低的鏈路,可以通過配置增大BFD報文實際發送時間間隔。
RIP接口下配置:
[Huawei-GigabitEthernet0/0/1]rip bfd enable
[Huawei-GigabitEthernet0/0/1]rip bfd ?
block 在這個接口上屏蔽BFD
detect-multiplier 配置探測乘法器次數
enable 在接口上使能BFD
min-rx-interval 配置最小接收間隔時間
min-tx-interval 配置最小發送間隔時間
static 使能靜態雙向轉發檢測功能
18、阻塞接口創建BFD會話
[Huawei-GigabitEthernet0/0/1]rip bfd block
19、RIP與靜態BFD聯動
靜態BFD可以實現以下兩種功能:
單臂BFD:
在現網中存在大量設備不支持BFD功能,當支持BFD的設備與不支持BFD的設備對接時,可以通過配置靜態BFD來實現單臂BFD檢功能。
普通BFD:
在某些對故障響應速度要求高且兩端設備都支持BFD的鏈路上,可以在兩端配置靜態BFD來實現普通BFD檢測功能。
具體配置
19.1、單臂BFD檢測配置
[Huawei]bfd 1 bind peer-ip 10.1.1.2 interface GigabitEthernet 0/0/1 source-ip 10.0.0.1 one-arm-echo
[Huawei-bfd-session-1] discriminator local 1
#指定了對端IP和本端接口,表示檢測單跳鏈路,即檢測以該接口為出接口、以peer-ip為下一跳地址的一條固定路由。
在配置單臂ECHO功能時,必須配置source-ip source-ip,source-ip source-ip為合法的IP地址,建議配置的source-ip source-ip與出接口IP不同。
19.2、普通BFD檢測配置
[Huawei]bfd 1 bind peer-ip 10.1.1.2 interface GigabitEthernet 0/0/1 source-ip 10.0.0.1
[Huawei-bfd-session-1] discriminator local 12
[Huawei-bfd-session-1] discriminator remote 21
19.3、打開接口靜態BFD功能
[Huawei-GigabitEthernet0/0/1]rip bfd static
20、RIP網管功能配置(RIP和MIB綁定,)
Huawei]rip mib-binding ?
INTEGER<1-65535> 進程號
#該命令用來設置MIB和RIP進程號的綁定關係,指定接收SNMP請求的RIP進程號。可以通過網管的環境來查看和配置RIP。
21、復位RIP
復位RIP特定進程的系統配置參數。當RIP進程啟動時,所有配置參數將採用缺省值。復位RIP連接會導致交換機之間的RIP鄰接關係中斷。務必仔細確認是否必須執行復位RIP連接的操作。
<huawei>reset rip 2 configuration/<huawei>
22、清除RIP統計信息
<huawei>reset rip 2 statistics ?/<huawei>
interface 接口信息
閱讀更多 生命的凱歌256124851 的文章
