cfi网络安全网络安全hcip

RIP (路由信息协议)

算法

开销

版本

开销值的计算方式

RIPV1和RIPV2的区别

RIP的数据包

Request(请求)包

Reponse(应答)包

RIP的特征

周期更新

RIP的计时器

1，周期更新计时器

2，失效计时器

3，垃圾回收计时器

RIP的核心思想(算法)---Bellman-Ford算法

Bellman-Ford算法

RIP的环路问题 ---- 异步周期更新导致

1，15跳的开销限制（开销值不断叠加，自动破环）

2，触发更新

3，水平分割

4，毒性逆转

RIP的基本配置

1，启动RIP进程

2，版本选择

3，宣告

沉默接口

RIPV1与RIPV2的区别

1、RIPV1数据包内容

2、RIPV2数据包内容

重发布

RIPV1和RIPV2互通的方法：

RIP的拓展配置

1，RIPV2的手工认证

2，RIPV2的手工汇总

汇总的优点：

3，加快收敛

4，缺省路由

RIP的路由控制

1、通过修改优先级影响RIP的选路

2、通过修改开销值影响RIP的选路

1、抓取流量修改开销值允许该流量通过

2、抓取流量使得该流量禁止通过

单播邻居

沉默接口

RIP (路由信息协议)

算法

贝尔曼-福特算法 --- 灵魂

开销

RIP以跳数作为开销值。RIP存在一个15跳工作半径。当路由的开销值达到16跳时，则认为该路径不可达。

版本

RIPV1，RIPV2 --- IPV4领域

RIPNG --- IPV6领域

RIP协议在传递信息时仅需要携带两个参数，一个是目标网段信息，一个是开销值。

开销值的计算方式

COST = 本地路由表中该网段的开销值 + 1

RIPV1和RIPV2的区别

1，RIPV1是有类别的路由协议，RIPV2是无类别的路由协议。

RIPV1在传递目标网段信息的时候不携带子网掩码，RIPV2在传递目标网段信息时携带子网掩码因为这个原因，导致RIPV1不支持非连续子网网络。以及VLSM和CIDR

2，RIPV1采用广播的形式进行邻居间的通信，RIPV2采用组播（224.0.0.9）的形式进行邻居间的通信。

但凡是224.0.0.X开头的组播地址都称为本地链路组播，其特点是这类组播的TTL值为1。这类信息仅能在一个广播域内进行传播。

RIPV1和RIPV2都是基于UDP的520端口进行通信

RIPNG是基于UDP的521端口进行通信

3，RIPV2支持手动认证和手工汇总，RIPV1不支持。

RIP的数据包

Request(请求)包

当RIP运行后将立即发出，希望尽快从邻居处获取未知网段的路由信息。

Reponse(应答)包

携带路由信息的数据报。

RIP的特征

RIP在收敛完成之后，依然会每隔30S发一次Reponse(应答)包，我们把RIP的这种现象称为RIP的周期更新。 ---- 一方面，弥补自身没有保活机制，另一方面弥补自身没有确认机制。

周期更新

异步周期更新 --- 30S即周期更新计时器。为了确保异步周期更新，RIP并没有严格按照30S的更新周期来执行，而是在该时间上增加了一个小的偏移量±5S。

RIP的计时器

1，周期更新计时器

默认30S

2，失效计时器

180S --- 当一条路由信息180S未刷新，则RIP将判定该路由失效。（路由器将会把该路由从全局路由表中删除，还会保存在缓存中，并且将其开销值置为16，之后周期更新时依然携带。---带毒传输）

3，垃圾回收计时器

120S --- 失效路由在120S内将继续发出，进行带毒传输。当该计时器归零后。将该路由信息彻底删除。

RIP的核心思想(算法)---Bellman-Ford算法

Bellman-Ford算法

1，AR2发送2.0网段的信息给AR1，如果，AR1本身并不存在该网段的路由信息，则将直接刷新到本地的路由表中。

Destination/Mask Proto Pre Cost Flags NextHop Interface

2.2.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0

2，AR2发送2.0网段的信息给AR1，如果，R1本身存在该网段的路由信息，且下一跳就是AR2。则将AR2发来的信息刷新到路由表中。

3，AR2发送2.0网段的信息给AR1，如果，R1本身存在该网段的路由信息，但是下一跳不是AR2，则比较开销值，如果，本地路由的开销值大于AR2发来的开销值，则将AR2发来的信息刷新到路由表中。

4，AR2发送2.0网段的信息给AR1，如果，R1本身存在该网段的路由信息，但是下一跳不是AR2，则比较开销值，如果，本地路由的开销值小于AR2发来的开销值，则不刷新路由条目。

RIP的环路问题 ---- 异步周期更新导致

1，15跳的开销限制（开销值不断叠加，自动破环）

2，触发更新

当拓扑结构发生变化的第一时间，将该变更信息传递出去

3，水平分割

从哪个接口学到的信息，将不再从哪个接口发出去。

4，毒性逆转

从哪个接口学到的信息，依然可以从这个接口发出去，但是必须带毒（将COST改为16）

在一台路由器上，水平分割和毒性逆转只能二选其一，华为设备默认开启的是水平分割机制。但如果同时开启水平分割和毒性逆转，华为设备将按照毒性逆转来执行。

RIP的基本配置

1，启动RIP进程

[r1]rip 1 --- 进程号，仅具有本地意义

[r1-rip-1]

2，版本选择

[r1-rip-1]version 2

3，宣告

要求：1，所有直连网段都需要宣告

2，必须按照主类来进行宣告

命令配置：[r1-rip-1]network 12.0.0.0

目的：1，激活接口 --- 只有激活的接口才能收发RIP的数据

2，发布路由 --- 只有激活接口对应的网段路由信息才能被发布

沉默接口

将一个接口配置为沉默接口之后，将只接受不发送RIP数据包

[r1-rip-1]silent-interface GigabitEthernet 0/0/0

RIPV1与RIPV2的区别

RIPV1和RIPV2是不兼容的，不能互通

1、RIPV1数据包内容

Command --- 表示RIP数据包的类型 --- Requset -- 1

Response -- 2

Version --- 版本 --- V1 --- 1；V2 --- 2

路由条目信息 --- 一个RIP数据包中最多可以携带25跳路由信息。

Address Family ---- 地址族标识符；IP --- 2

目标网段 + 开销值

交换机泛洪的条件 --- 1，广播帧；2，组播帧；3，未知单播帧

RFC --- 行业技术汇编 3171 --- RIP

2、RIPV2数据包内容

Command --- 表示RIP数据包的类型 --- Requset ---1

Response -- 2

Version --- 版本 --- V1 -- 1；V2 --- 2

路由条目信息 --- 一个RIP数据包中最多可以携带25跳路由信息。

Address Family --- 地址族标识符；IP --- 2

Route tag --- 路由标签 --- 可以给流量打标记

目标网段 + 子网掩码 + 开销值

Next hop（下一跳） --- 一般情况下，下一跳字段均为0.0.0.0。如果存在选路不佳的情况，则下一跳字段中将携带最佳下一跳的地址。

RIPV2的下一跳问题

主要为了应对一些选路不佳的情况，他可以直接指定下一跳而不是按照算法算出来的下一跳。

重发布

因为不同的路由协议的运行原理和对路由的理解都不相同，所以，不同的路由协议之间存在信息隔离。想让不同的协议的路由信息互通，我们可以在运行不同协议的边界设备上，将不同路由协议之间进行转换 --- 重发布 --- 路由器将一种路由协议通过另一种路由协议的方式传播出去。

配置命令：[r1-rip-1]import-route static

RIPV1和RIPV2互通的方法：

1，重发布

2，[r3-GigabitEthernet0/0/0]rip version 2 --- 在接口上执行该命令，可以让该接口发送的RIP信息均按照RIPV2的规则来传递和接收。

RIP的拓展配置

1，RIPV2的手工认证

因为RIPV2并没有给认证预留空间，所以，在进行认证之后，认证数据将会占用一条路由条目的空间，导致，进行认证的RIP数据包中最多只能携带24条路由条目信息。

配置命令：[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher 123456

2，RIPV2的手工汇总

汇总后将立即抑制明细路由，将明细路由的开销值改为16，进行带毒传输。

配置命令：[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0

注意，汇总之后不要忘记添加空接口路由进行防环。

汇总的优点：

1，可以减少路由条目数量，提高转发效率

2，可以防止路由表翻滚，确保网络的稳定性

3，加快收敛

减少计时器时间

配置命令：[r1-rip-1]timers rip 30 180 120 --- 注意，不要改变计时器之间的倍数关系

4，缺省路由

配置命令：[r3-rip-1]default-route originate --- 在边界路由器上下发，将使边界设备作为缺省源，所有内网设备将自动生成一条缺省路由指向边界方向。但注意，边界设备上的缺省信息必须手工配置。

[r3-GigabitEthernet0/0/0]rip summary-address 0.0.0.0 0.0.0.0 --- 在边界路由器连接内网接口上下发汇总信息。

RIP的路由控制

1、通过修改优先级影响RIP的选路

[r1-rip-1]preference 150 --- 将RIP默认优先级修改为150（仅影响本地路由表） ---- 仅适用于不同协议之间进行比较选路

2、通过修改开销值影响RIP的选路

1，在RIP中，不允许将开销值修改变小，主要是因为RIP存在15跳的限制，如果随意将开销值改小，则将导致15跳限制形同虚设。所以，RIP在进行开销值修改时，只能将开销值改大。

2，在开销值改大时，也可以从两个方向入手修改。

如果选择在出方向修改，则修改的是路由传递时的增加值。

如果选择在入方向修改，则修改效果是直接在本地路由表开销值的基础上增加。

如果需要进行精准控制，就是对某个网段的路由信息中的开销值进行调整，我们可以使用ACL列表对该网段流量进行抓取，之后针对抓取流量进行开销值的修改。

1、抓取流量修改开销值允许该流量通过

1，创建ACL列表，抓取对应网段流量

[r2]acl 2000

[r2-acl-basic-2000]rule permit source 4.4.4.0 0

2，在接口上修改开销值

[r2-GigabitEthernet0/0/0]rip metricout 2000 10 --- 出方向修改

[r1-GigabitEthernet0/0/0]rip metricin 2000 3 --- 入方向修改路由过滤 --- 也属于路由控制的一种，我们可以过滤掉某些路由信息，这样从一开始，就不去加表。

路由过滤也可以分为入方向（影响自己）和出方向（影响别人）在华为设备中，进行路由过滤需要用到过滤列表 --- filter-policy过滤列表本身是高阶列表，但是因为自身并不具备过滤功能，所以需要调用ACL列表，并且依赖ACL列表的过滤功能。

2、抓取流量使得该流量禁止通过

1，创建ACL列表，抓取并过滤路由信息

[r2]acl 2001
[r2-acl-basic-2001]
[r2-acl-basic-2001]rule deny source 4.4.4.0 0

[r2-acl-basic-2001]rule permit source any --- 一定要加，因为华为设备ACL列表末尾并不是隐含了一条允许所有的规则，只是对未匹配到的流量不做处理。如果不加这一条，则将会过滤掉所有路由信息。

2，通过过滤列表对路由信息进行过滤

[r2-rip-1]filter-policy 2001 export GigabitEthernet0/0/0 --- 在出方向调用过滤列表
[r1-rip-1]filter-policy 2001 import --- 在入方向进行调用

单播邻居

[r1-rip-1]peer 10.0.0.2

单播邻居的配置方法（注意，邻居之间必须互相指定对方为自己的单播邻居才行）

邻居之间将以单播的形式发送路由信息，但是，组播或者广播信息也同时会发送所以，单播邻居需要和沉默接口一起使用才能达到其效果。（如果存在多个路由器需要相互指定）

沉默接口

1，只收数据不发数据；

2，沉默接口的效果只影响组播或者广播包，但是，对单播包没有影响

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。