网络中超好玩的路由环路(2)——汇总环路
一、汇总环路概述:
在配置静态路由或动态路由的情况下,有时候会使用路由汇总的功能来减少路由表的大小,但是如果配置不当,可能会引发环路隐患,当有些扫描软件或病毒发包触发环路后,可能会引起网络拥塞甚至瘫痪!!!
二、实验拓扑:
下面拓扑模拟一个中小企业的三层交换及路由网络,交换机充当各的网关做三层交换,路由器做NAT 到互联网的设备,在交换机和路由器之间配置静态路由,并配置路由汇总的功能。
三、基础配置
路由器的基础配置
<Huawei>sys
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.100.1 255.255.255.0
[R1-GigabitEthernet0/0/0]interface LoopBack100
[R1-LoopBack100]ip address 100.100.100.100 255.255.255.0
[R1-LoopBack100]interface LoopBack200
[R1-LoopBack200]ip address 200.200.200.200 255.255.255.0交换机的基础配置
<Huawei>sys
[Huawei]sysname SW1
[SW1]vlan batch 2 to 3 100
[SW1]dhcp enable
[SW1]interface Vlanif1
[SW1-Vlanif1]ip address 172.16.1.1 255.255.255.0
[SW1-Vlanif1]dhcp select interface
[SW1-Vlanif1]interface Vlanif2
[SW1-Vlanif2]ip address 172.16.2.1 255.255.255.0
[SW1-Vlanif2]dhcp select interface[SW1-Vlanif2]interface Vlanif3
[SW1-Vlanif3]ip address 172.16.3.1 255.255.255.0
[SW1-Vlanif3]dhcp select interface
[SW1-Vlanif3]interface Vlanif100
[SW1-Vlanif100]ip address 192.168.100.2 255.255.255.0
[SW1-Vlanif100]interface GigabitEthernet0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 2
[SW1-GigabitEthernet0/0/2]interface GigabitEthernet0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 3
[SW1-GigabitEthernet0/0/3]interface GigabitEthernet0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default vlan 100电脑采用DHCP 方式得到地址
以用ipconfig 验证是否三个电脑都得到地址,下面是PC1的示例
四、探讨静态路由汇总环路:
在交换机上配置默认路由去互联网
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.100.1
在路由器上配置去模拟公网的默认路由
[R1]ip route-static 0.0.0.0 0.0.0.0 LoopBack 100
在路由器上配置反回VLAN 的路由(这里为了减少路由表大小,采用汇总方式)
[R1]ip route-static 172.16.0.0 22 192.168.100.2
或者配置
[R1]ip route-static 172.16.0.0 16 192.168.100.2
此时在PC 上测试公网互通发现一切正常
环路验证,在电脑上tracert 172.16.0.0/24这个网段任一地址,如172.16.0.10
可以发现数据包在三层交换机(100.2)和路由器(100.1)之间打环
五、路由汇总环路原理分析:
三层交换机路由表
路由器路由表
电脑发包到172.16.0.10的时候,以路由最长匹配原则,在三层交换机和路由器上分别命中红线标注的路由,下一跳互为对方,故产生环路
六、RIP 路由汇总环路:
修改配置为RIP V2并汇总路由
交换机的配置
[SW1]undo ip route-static 0.0.0.0 0.0.0.0
[SW1]rip 1
[SW1-rip-1]undo summary
[SW1-rip-1]version 2
[SW1-rip-1]network 172.16.0.0
[SW1-rip-1]network 192.168.100.0
[SW1-rip-1]interface Vlanif100
[SW1-Vlanif100]rip summary-address 172.16.0.0 255.255.252.0路由器的配置
[R1]undo ip route-static 172.16.0.0 255.255.252.0
[R1]rip 1[R1-rip-1]undo summary
[R1-rip-1]default-route originate
[R1-rip-1]version 2
[R1-rip-1]network 192.168.100.0验证环路
原理分析
等同于静态环路,略
配置完后请删除RIP 路的配置
[SW1]undo rip 1
Warning: The RIP process will be deleted. Continue?[Y/N]y
[R1]undo rip 1
Warning: The RIP process will be deleted. Continue?[Y/N]y
七、OSPF 路由汇总环路:
配置路由器为OSPF 协议
[R1]ospf 1 router-id 1.1.1.1
[R1-ospf-1]default-route-advertise
[R1-ospf-1]area 0.0.0.0
[R1-ospf-1-area-0.0.0.0]network 192.168.100.1 0.0.0.0
[R1-ospf-1-area-0.0.0.0]quit
[R1-ospf-1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 LoopBack100配置交换机为OSPF 协议并汇总路由
[SW1]ospf 1 router-id 2.2.2.2
[SW1-ospf-1]area 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]network 192.168.100.2 0.0.0.0
[SW1-ospf-1-area-0.0.0.0]area 0.0.0.1
[SW1-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.252.0
[SW1-ospf-1-area-0.0.0.1]network 172.16.1.1 0.0.0.0
[SW1-ospf-1-area-0.0.0.1]network 172.16.2.1 0.0.0.0
[SW1-ospf-1-area-0.0.0.1]network 172.16.3.1 0.0.0.0验证环路
原理分析同上略
八、路由汇总环路规避方法:
在明细路由的始发地手工写指向NULL 0的路由,把冗余的流量送到bit 垃圾桶里,在这个实验里,三层交换机是明细路由始发地,所以在要三层交换机上写
[SW1]ip route-static 172.16.0.0 22 NULL 0最后在PC 上再测试,不会有环路发生
扩展:给华为路由器一个建议
建议在RIP 协议,OSPF 协议在手工汇总的时候,能自动生成指向NULL 接口的路由来防止环路,这样就更智能了。
目前思科路由器在所有IGP 协议上(RIP OSPF EIGRP)都有类似的实现。