当前位置：搜档网 › 路由环路及解决办法

路由环路及解决办法

路由环路：在维护路由表信息的时候，如果在拓扑发生改变后，网络收敛缓慢产生了不协调或者矛盾的路由选择条目，就会发生路由环路的问题，这种条件下，路由器对无法到达的网络路由不予理睬，导致用户的数据包不停在网络上循环发送，最终造成网络资源的严重浪费。链路状态算法(OSPF)不会产生路由环路，因此，消除路由环路的技术，都是针对距离向量协议进行的。路由环路的形成大致如下述：

当C路由器一侧的X网络(192.168.4.0)发生故障，则C路由器收到故障信息，并在路由表中把X网络设置为不可达，等待更新周期到时来通知相邻的B路由器。但这时，如果相邻的B路由器的更新周期先来了，则C路由器将从B路由器那学习并更新到达X网络的路由。这是错误路由，因为此时的X网络已经损坏，而C路由器却在自己的路由表内增加了一条经过B 路由器到达X网络的路由。然后C路由器还会继续把该错误路由通告给B路由器，B路由器更新路由表，认为到达X网络须经过C 路由，然后继续通知相邻的路由器，至此路由环路形成，C路由器认为到达X网络经过B路由器，而B则认为到达X网络进过C路由器。

解决路由环路问题的方法，概括来讲，主要分为六种：

1.定义最大值：

距离矢量路由算法可以通过IP头中的生存时间（TTL）来纠错，但路由环路问题可能首先要求无穷计数。为了避免这个延时问题，距离矢量协议定义了一个最大值，这个数字是指最大的度量值，如RIP协议最大值为16跳。也就是说，路由更新信息可以向不可到达的网络的路由中的路由器发送15次，一旦达到最大值16，就视为网络不可到达，存在故障，将不再接受来自访问该网络的任何路由更新信息。

2.水平分割：

一种消除路由环路并加快网络收敛的方法是通过叫做“水平分割”的技术实现的。其规则就是不向原始路由更新的方向再次发送路由更新信息（个人理解为单向更新，单向反馈）。比如有三台路由器ABC，B向C学习到访问网络192.168.4.0的路径以后，不再向C声明自己可以通过C访问10.4.0.0网络的路径信息，A向B 学习到访问192.168.4.0网络路径信息后，也不再向B声明，而一旦网络192.168.4.0发生故障无法访问，C会向A和B发送该网络不可达到的路由更新信息，但不会再学习A和B发送的能够到达192.168.4.0的错误信息。

3.路由中毒（也称为路由毒化）：

定义最大值在一定程度上解决了路由环路问题，但并不彻底，可以看到，在达到最大值之前，路由环路还是存在的。为此，路由中毒就可以彻底解决这个问题。其原理是这样的：假设有三台路由器ABC，当网络192.168.4.0出现故障无法访问时，路由器C立即向邻居路由发送相关路由更新信息，并将其度量值标为无穷大，告诉它们网络192.168.4.0不可到达，路由器B收到毒化消息后将该链路路由表项标记为无穷大，表示该路径已经失效，并向邻居A路由器通告，依次毒化各个路由器，告诉邻居192.168.4.0这个网络已经失效，不再接收更新信息，从而避免了路

由环路。

4.反向中毒（也称为毒化逆转）：

结合上面的例子，当路由器B看到到达网络192.168.4.0的度量值为无穷大的时候，就发送一个叫做毒化逆转的更新信息给C路由器，说明192.168.4.0这个网络不可达到，这是超越水平分割的一个特列，这样保证所有的路由器都接受到了毒

化的路由信息。

5.控制更新时间（即抑制计时器）：

抑制计时器用于阻止定期更新的消息在不恰当的时间内重置一个已经坏掉的路由。抑制计时器告诉路由器把可能影响路由的任何改变暂时保持一段时间，抑制时间通常比更新信息发送到整个网络的时间要长。当路由器从邻居接收到以前能够访问的网络现在不能访问的更新后，就将该路由标记为不可访问，并启动一个抑制计时器，如果再次收到从邻居发送来的更新信息，包含一个比原来路径具有更好度量值的路由，就标记为可以访问，并取消抑制计时器。如果在抑制计时器超时之前从

不同邻居收到的更新信息包含的度量值比以前的更差，更新将被忽略，这样可以有更多的时间让更新信息传遍整个网络。路由中毒和抑制时间结合起来可以在一定程度上避免路由环路的产生，并且抑制复位接口引起的网络震荡。路由中毒即在网络故障或接口复位时，让相应的路由项中毒，即将路由项的度量值设为无穷大，表示该路由项已经失效，一般在这个时候都会同时启动抑制时间。比如上面图示的X网络出现故障，则C路由器到X网络的路由表的度量值会被设置为最大，表示X网络已经不可达，并启动抑制时间。如果在抑制时间结束前，C路由器在X网络侧接收到到达X网络的路由，则更新路由项，因为此时的X网络故障已经排除，并且删除抑制时间。如果有从别的路由器接收到到达X网络的路由（上图没有），并且新的度量值比旧的好，则更新路由项，删除抑制时间，因为此时可能有另一条不经过C 但可以到达X网络侧的路由器的路径。但是如果度量值没有以前的好，则不进行更

新。

6.触发更新：

正常情况下，路由器会定期将路由表发送给邻居路由器。而触发更新就是立刻发送路由更新信息，以响应某些变化。检测到网络故障的路由器会立即发送一个更新信息给邻居路由器，并依次产生触发更新通知它们的邻居路由器，使整个网络上的路由器在最短的时间内收到更新信息，从而快速了解整个网络的变化。但这样也是有问题存在，有可能包含更新信息的数据包被某些网络中的链路丢失或损坏，其它路由器没能及时收到触发更新，因此就产生了结合抑制的触发更新，抑制规则要求一旦路由无效，在抑制时间内，到达同一目的地有同样或更差度量值的路由将会被忽略，这样触发更新将有时间传遍整个网络，从而避免了已经损坏的路由重新插入到已经收到触发更新的邻居中，也就解决了路由环路的问题。

回顾下上图示路由环路的产生，C路由器接收到X网络故障信息后，等待更新周期的到来后再通知B路由器，结果B的更新周期提早到来，结果掩盖了X网络的故障信息，从而形成环路。触发更新的机制正是用来解决这个问题，在收到故障信息后，不等待更新周期的到来，立即发送路由更新信息。但是还是有个问题，如果在触发更新刚要启动时却收到了来自B的更新信息，就会进行错误的更新。可以将抑制时间和触发更新相结合，当收到故障信息后，立即启动抑制时间，在这段时间内，不会轻易接受路由更新信息，这个机制就可以确保触发信息有足够的时间在网络中传

播。

小提示：

路由中毒：是指在路由信息在路由表中失效时，先将度量值变为无穷大，而不是马上从路由表中删掉这条路由信息。(这句话要理解，如RIP协议中，其度量值变为16，意味着路由不可达)再将其信息发布出去，这样相邻的路由器就得知这条路

由己无效了.....

毒性反转与路由中毒概念是不一样的，它是指收到路由中毒消息的路由器，不遵守水平分割原则将中毒消息转发给所有的相邻路由器，也包括发送中毒信息的源路由器，也就是通告相邻路由器这条路由信息己失效了。。主要目的是达到快速收

敛的目的。

利用tag防止路由环路和次优路径

问题描述： 1、当R 2、R3上做了双向重分发之后，我们可以观察路由表发现到：R2/R3之间产生了一条去往R4环回口的次优路径（如果R2先学习到R4的环回口，会通过OSPF分发给R3，R3上就会出现一条R4环回口下一跳为R2的O路由；R3先学习到同道理） 2、R2学习到了R4环回口路由，它会将此路由通过路由协议A传递给它的邻居（此图中 R1、R3均会收到），假设R3又通过重分发传递给了路由协议B中的邻居（此实例不会产生），这样就会产生路由环路。为完全解决上面两个问题，我们利用tag来杜绝问题产生。为避免大篇幅，基础配置（接口IP地址）不再给出。双向路由重分发时注意RIP引入路由时必须加metric，否则默认最大值，路由不可达。解决步骤：（1）配置路由并做双向重分发：

观察路由表：

现在R3上面由于重分发产生了次优路径（重点关注R4环回口地址4.4.4.4）（2）加tag 与拒绝 tag

可以观察到RIP 、OSPF 的路由各自加上了tag ，RIP 发送给OSPF 的路由tag 为100，OSPF 发送给RIP 的路由tag 为200。至此，我们已经杜绝了由路由重分发可能会产生的路由环路问题。（3）解决次优路径问题我们先关注次优路径产生的原因（我们重点关注环回口路由）：由于R2先学习到 4.4.4.4这一条路由，R2就会通过OSPF 重分发出去，告知给R2的OSPF 邻居，R3就会收到这条打O 的路由，尽管现在R3收到了RIP 发送的这条路由，但是OSPF 的管理距离比OSPF 的高，所以就会选择打O 的路由加表。但是R3明明去往4.4.4.4这个网段可以直接发送给R4，但是现在需要先发送给R2，这就是次优路径。(R3先学习到也是同样的道理) 由于前面我们已经针对各自引入的路由加上了标记，我们只需要在不需要的地方借助tag 拒绝掉就行。也就是说，在R2和R3上的OSPF 进程里面，不接收带tag100的路由。注意：我们只需要拒绝带tag100的路由，其他的路由照常收 !!!!

路由环路(水平分割、毒性路由等)

路由环路什么是路由环路？路由环路是指数据包在一系列路由器之间不断传输却始终无法到达其预期目的网络的一种现象。当两台或多台路由器的路由信息中存在错误地指向不可达目的网络的有效路径时，就可能发生路由环路。造成环路的可能原因有：．静态路由配置错误．路由重分布配置错误．发生了改变的网络中收敛速度缓慢，不一致的路由表未能得到更新．错误配置或添加了丢弃的路由距离矢量路由协议的工作方式比较简单。其简单性导致它容易存在诸如路由环路之类的缺陷。在链路状态路由协议中，路由环路较为少见，但在某些情况下也会发生。注：IP 协议自身包含防止数据包在网络中无休止传输的机制。IP 设置了生存时间 (TTL) 字段，每经过一台路由器，该值都会减 1。如果 TTL 变为零，则路由器将丢弃该数据包。路由环路会造成什么影响？路由环路会对网络造成严重影响，导致网络性能降低，甚至使网络瘫痪。路由环路可能造成以下后果：．环路的路由器占用链路带宽来反复收发流量。．路由器的 CPU 因不断循环数据包而不堪重负。．路由器的 CPU 承担了无用的数据包转发工作，从而影响到网络收敛。．路由更新可能会丢失或无法得到及时处理。这些状况可能会导致更多的路由环路，使情况进一步恶化。．数据包可能丢失在“黑洞”中。路由环路一般是由距离矢量路由协议引发的，目前有多种机制可以消除路由环路。这些机制包括：．定义最大度量以防止计数至无穷大．抑制计时器．水平分割．路由毒化或毒性反转．触发更新问题：计数值无穷大当不正确的路由更新无休止地增加不再可达的网络的度量值时，就会出现＂计数至无穷大＂

下面我们来分析下三台路由器不定时地发送更新时，路由表会出现的情况：１．当１０.４.０.０断开的时候，ｒ３中的有关于１０．０．０．０的网络是不可达的在ｒ３未发送更新之前，ｒ２向ｒ３发送更新，此时ｒ３中有关于１０．４网络的跳数变为了２，随后，r3向r2发送更新路由表中10.4网络的跳数为3，接着r2会向r1发送更新，r1中有关于10.4.0.0的条目的跳数为4 第二轮更新为：ｒ２向ｒ３发送更新，此时ｒ３中有关于１０．４网络的跳数变为了4，随后，r3向r2发送更新路由表中10.4网络的跳数为5，接着r2会向r1发送更新，r1中有关于10.4.0.0的条目的跳数为6 就这样不停地更新下去，从而无休止的更新这个不可达目的地的网络路由防止计数值无穷大的解决方法：为了防止度量无限增大，可以通过设置最大度量值来界定“无穷大”。例如，RIP 将无穷大定义为 16 跳，大于等于此值的路由即为“不可达”。一旦路由器计数达到该“无穷大”值，该路由就会被标记为不可达。使用抑制计时器防止路由环路: 抑制计时器可用来防止定期更新消息错误地恢复某条可能已经发生故障的路由。抑制计时器指示路由器将那些可能会影响路由的更改保持一段特定的时间。如果确定某条路由为 down（不可用）或 possibly down（可能不可用），则在规定的时间段，任何包含相同状态或更差状态的有关该路由的信息都将被忽略。这表示路由器将在一段足够长的时间将路由标记为 unreachable（不可达），以便路由更新能够传递带有最新信息的路由表。抑制计时器通过以下方式工作： 1. 路由器从邻居处接收到更新，该更新表明以前可以访问的网络现在已不可访问。 2. 路由器将该网络标记为 possibly down 并启动抑制计时器。 3. 如果在抑制期间从任何相邻路由器接收到含有更小度量的有关该网络的更新，则恢复该网络并删除抑制计时器。 4. 如果在抑制期间从相邻路由器收到的更新包含的度量与之前相同或更大，则该更新将被忽略。如此一来，更改信息便可以继续在网络中传播一段时间。 5. 路由器仍然会转发目的网络被标记为 possibly down 的数据包。通过这种方式，路由器便能克服连接断续所带来的问题。如果目的网络确实不可达，但路由器又转发了数据包，黑洞路由就会建立起来并持续到抑制计时器超时。水平分割：防止由于距离矢量路由协议收敛缓慢而导致路由环路的另一种方法是水平分割。水平分割规则规定，路由器不能使用接收更新的同一接口来通告同一网络。对前面的示例路由 10.4.0.0 应用水平分割后，将引发下面的一系列活动：．R3 将 10.4.0.0 网络通告给 R2。．R2 接收该信息并更新其路由表。．R2 随后通过 S0/0/0 将 10.4.0.0 网络通告给 R1。R2 不会通过 S0/0/1 将 10.4.0.0 通告给 R3，因为该路由正是从该接口获得。

双点双向重分布路由环路的产生

双点双向重分布路由环路的产生左边运行OSPF协议，右边运行RIPV2协议，首先在R2上进行双向重分布，再在R3上进行路由重分布。基本配置省略。 R2(config-router)#redistribute rip metric 10 subnets R2(config-router)#redistribute ospf 1 metric 4 R3上进行相同配置； R2#sh ip rou 34.0.0.0/24 is subnetted, 1 subnets O E2 34.34.34.0 [110/10] via 12.12.12.1, 01:45:24, Serial0/0 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/65] via 12.12.12.1, 01:45:24, Serial0/0

R 5.5.5.5 [120/2] via 24.24.24.4, 00:00:26, Serial0/1 24.0.0.0/24 is subnetted, 1 subnets C 24.24.24.0 is directly connected, Serial0/1 12.0.0.0/24 is subnetted, 1 subnets C 12.12.12.0 is directly connected, Serial0/0 13.0.0.0/24 is subnetted, 1 subnets O 13.13.13.0 [110/128] via 12.12.12.1, 01:45:26, Serial0/0 45.0.0.0/24 is subnetted, 1 subnets R 45.45.45.0 [120/1] via 24.24.24.4, 00:00:01, Serial0/1 R3#sh ip rou 34.0.0.0/24 is subnetted, 1 subnets C 34.34.34.0 is directly connected, Serial0/1 1.0.0.0/32 is subnetted, 1 subnets O 1.1.1.1 [110/65] via 13.13.13.1, 01:46:10, Serial0/0 5.0.0.0/32 is subnetted, 1 subnets O E2 5.5.5.5 [110/10] via 13.13.13.1, 01:46:10, Serial0/0 24.0.0.0/24 is subnetted, 1 subnets O E2 24.24.24.0 [110/10] via 13.13.13.1, 01:46:10, Serial0/0 12.0.0.0/24 is subnetted, 1 subnets O 12.12.12.0 [110/128] via 13.13.13.1, 01:46:10, Serial0/0

双点双向重发布-路由环路

双点双向重发布-路由环路 2014年10月12日19:57 如何产生环路: 在RIP域内形成环路先R1(config-router)#passive-interface f1/0 然后 R1(config)#int lo0 R1(config-if)#shutdown 等一小会就会在R1上有 R1#sh ip route 1.0.0.0/24 is subnetted, 1 subnets R 1.1.1.0 [120/5] via 12.1.1.2, 00:00:08, FastEthernet0/0 时，将 R1(config)#router rip R1(config-router)#no passive-interface f1/0 会在R4上看到 R4#sh ip route 1.0.0.0/24 is subnetted, 1 subnets R 1.1.1.0 [120/6] via 14.1.1.1, 00:00:02, FastEthernet0/0 就会产生1.1.1.0/24的环路 R1#traceroute 1.1.1.1 Type escape sequence to abort. Tracing the route to 1.1.1.1 1 12.1.1. 2 36 msec 60 msec 64 msec 2 23.1.1. 3 60 msec 6 4 msec 140 msec 3 35.1.1.5 6 4 msec 124 msec 60 msec 4 45.1.1.4 80 msec 76 msec 112 msec 5 14.1.1.1 92 msec 9 6 msec 60 msec 6 12.1.1.2 140 msec 88 msec 124 msec 解决方案： // rip把自身R的路由重发布到ospf中，变成了打O的路由，如果在把打O的路由重发布回来，则就容易形成环路，所以应在ospf域内做，拒绝ospf域中从rip学学习到的路由 R3#sh ip prefix-list ip prefix-list r1: 2 entries seq 5 deny 1.1.1.0/24

交换机-路由器网络环路

问题1：交换机1能用、路由器2不能用（原因及使用后果。如何操作路由器才能使用以及原因）；原因：校园网安装了独立的DHCP3服务器，而路由器默认开启了DHCP功能，会和校园网的DHCP服务器造成冲突，使得大量用户自动获得的IP地址不正确，导致大量用户不能正常上网，而且学校已针对每个IP地址限制了上网速率，若使用路由器则影响接入该设备用户的网速。所以在校内网中不能使用路由器，要使用交换机。后果：大量用户不能上网，严重影响网络传输速率。解决方法：关闭路由器的dhcp，关闭路由器的路由功能，不要使用wan口4，只使用lan口5上联学校网络，把路由器当做交换设备。关闭方法： 1、以TP LINK路由器为例。用网线把路由器和电脑连接起来，电脑接在路由器的LAN口。获取到IP地址以后，在IE中写入http://192.168.1.1 （192.168.1.1为大多数路由器管理ip，若不同请查阅说明书）就会出现登陆界面。 2、输入其访问帐号和访问密码进入路由器的访问界面。（帐号和访问密码查看说明书，默认为admin）进入管理界面以后，选择DHCP服务，将DHCP服务关闭，选择“不启用”。 3、最后保存并软重起路由器。重起之后将校园网主线接入LAN口（不使用WAN口）。电脑也接在LAN口。重新获取IP地址。问题2：环路问题：种类，表现，解决。种类：分为第二层环路和第三层环路,所有环路的形成都是由于目的路径不明确导致混乱而造成的。第二层:环路通常都是冗余链路造成的，没有冗余链路就不存在环路。例如一个广播信息经过两个交换机的时候会不断恶性循环的产生广播,造成环路。第三层:通常指的是路由环路，是由于启用路由协议不当造成的，即使没有冗余链路，也有可能造成环路。例如正常192.168.0.0/24网络被路由1通告到路由2,当网络出问题不能达到的时候,路由1把192.168.0.0/24路由信息删除,但是路由2通告给了路由1,让路由1误以为路由2的那边能达到192.168.0.0/24网络,结果造成恶性循环(例子建立在RIP6,IGRP7等路由协议下,只有这两个协议会造成第三层环路) 表现：二层环路: 二层环路将导致二层多播或者广播的数据包的风暴，并不在乎多播或者广播的数据包的数量多少，只要存在二层环路，那么就可以形成对整个二层网络的阻塞。比如，ARP8包虽然数量上很少，但是，每当交换机的ARP表超时之后，那么交换机就会对ARP条目刷新，每个ARP包都会在网络中不断环回，不能被终结，同理，热备份路由器协议主备之间和OSPF9邻居之间同步都是在二层上周期性定时广播进行的，如果不能被终结，所有数据包都将在链路上进行累积而吞噬带宽。所以，只要有环路，那么网络就会被阻塞，而阻塞的快慢取决于网络上多播或者广播的数据包的数量多少。还有，网络中受影响的链路和设备不局限于环路上的链路和设备，整个二层网络都会受到影响。同时，二层网络如果过大，容易造成二层转发次优路径。网络中，任何端口的闪断将会导致整个二层网络中设备进行基于STP 协议10的不断拓扑更新，消耗设备的CPU资源并且造成网络拓扑的不稳定。广播数据包的增长是以2 N速率进行增长，直至数据包老化。

路由环路,ARP,DDOS的预判方法

重大网络问题的判断思路： 1．路由环路产生这种问题往往是在技术或者客户做了某项维护操作之后，网络会突然瞬间全部断网，外面ping这个网段的IP时，只能正常ping通网关，其它IP全部不通，这时技术要马上想到是路由环路。解决办法：马上反思刚才技术和客户维护时做过哪些操作，对于刚才操作过的机柜要马上断网，然后再查看是哪根网线接错了。一般情况下，一台交换机不允许接两根进口网线，一台机器也不允许接同一个网段的两台不同的交换机。路由环路的原理请参照下面的资料。 2．ARP 这种问题的症状是外面ping网关很正常，不掉包,但这个网段的很多机器掉包，卡，最典型的现象是部分IP通一段时间又不通了，过一会再通一小段时间然后再不通，如此反复，发生这种故障就是典型的ARP攻击，ARP的另一个特征是外面ping不通机器IP或者掉包，但同一个网段IP之间互ping很正常。还有个特点是这个网段的网站客户反映他们的网站都被挂马，但服务器上的网页查看源代码却看不到恶意代码。解决办法：一旦发生某网段掉包严重现象或者有客户反映网站被挂马，马上进内网ARP监控机查看ARP 报警情况，如ARP防火墙无报警，马上上报给电信故障中心，让电信帮忙查看，同时自己仍然要继续关注ARP防火墙的提示，如内网无ARP监控机，可用笔记本电脑配个此段IP进入机房开启ARP防火墙查看。在内网可以通过arp -a查看网关MAC，桃浦机房的网关的MAC 地址如下：二楼网关（包括119段224段115段）: 00-0f-e2-d2-74-4f 三楼网关（203.156.192段）： 00-0f-e2-d2-72-1f 203.156.193段： 00-0f-e2-d2-78-ff 被ARP影响到的机器，网关的MAC地址会变化成为其它的MAC，没有受到影响的机器或者开启了ARP防火墙的机器的网关MAC地址不会变化。如果用ARP防火墙仍然查不出哪台机器，一定要上报给电信故障中心，让电信帮忙检查，如果是ARP攻击，电信一定能查出可疑的MAC地址，这时可以用内网的ARP防火墙+superscan软件扫描来扫出内网所有机器的MAC 地址，然后找出对应的可疑的MAC地址，对于发动ARP的机器一定要马上断网，再通知客户。将发动ARP的机器断网后，部分IP会正常，部分受影响较大的机器会断网，这时需要将不通的机器的网线插拔一下，如果还不通，多试几次，再不行就将机器重启或者通过内网的机器再远程连上去，先ping网关，再ping外面的公网IP如202.96.209.5通了就可以恢复正常了。 3．网络攻击（DDOS流量攻击）症状是某个机柜掉包，很卡，或者整个网段都是这样，连网关也掉包，影响范围和攻击的流量大小有直接关系，一般几百M的攻击流量会影响到一个机柜的机器，如果是上G的流量，则会影响到整个网段甚至整个机房的网络。解决办法：查看网段所在的机柜的流量图，看看流量是否异常，如发现有机柜流量异常，找出是哪个机端口流量跑高然后断网，如果是流量溢出，则会发现交换机每个端口流量会很高，这种情况下查出被攻击的机器会很难，一定要及时上报给电信故障中心，同时要在内网用sniffer 来查看是否有很多流量指向某一个IP。对于DDOS攻击，如果查出了被攻击的机器并断网后，

网络环路分析

网络环路分析某公司网络全部为内部网络，不与internet连接，出口防火墙连接集团内网，下联核心交换机，核心交换机下连“下属单位”防火墙。如下图所示：前一段时间上午8-10点左右网络及应用访问缓慢，内网用户ping DMZ区服务器时会产生大量丢包，甚至无法正常提供服务，而且会不定时的网络访问慢，严重的影响了正常的工作。经过一段时间的排查，并没有发现网络及应用产生故障的原因。这时通过网络中部署的科来网络回溯分析系统对之前发生的问题进行长时间的回溯分析，定位到故障发生的时段，来重现故障当时的情景，以便帮助我们找到产生问题的根本原因，解决问题。

上图为发生异常的3小时的流量视图，并且为网络总流量及进出流量做出统计，可以看到总流量已经占出口带宽的70%左右，峰值达到了682.35Mbps，顺时的网络利用率甚至更高，已经达到非常高网络利用率，会造成大量的数据包丢失。详细分析：经过针对网络应用分析，发现这3小时的数据中，未知的UDP应用流量占用了总流量的99%以上（如下图）。

通过进行未知UDP应用的深入挖掘分析，可以发现大量UDP 2425 端口的单方向通讯。所以基本我们可以确定网络中产生大数据量传输导致网络慢的原因就是内网中这些使用UDP 2425 端口进行通讯的数据占用了网络的大量带宽，导致网络中产生很多丢包，造成访问应用系统慢。查找占用带宽较大的ip时，发现基本所有大流量传输的ip地址均为“该公司下属单位”网段的ip地址。经过查阅资料和udp会话分析发现，使用UDP2425端口是飞秋软件，飞秋(FeiQ)是一款局域网聊天传送文件的绿色软件，它参考了飞鸽传书(IPMSG)和QQ, 完全兼容飞鸽传书(IPMSG)协议。通过“下载分析”针对一个UDP2425会话进行解码分析，发现数据包的标

★距离矢量路由算法中避免环路的方法

距离矢量路由协议中路由环路问题的解决方法距离矢量路由协议中路由环路问题的解决方法：概括来讲，主要分为六种： 1.定义最大值； 2.水平分割技术； 3.路由中毒； 4.反向路由中毒； 5.控制更新时间； 6.触发更新。 1.定义最大值：距离矢量路由算法可以通过IP头中的生存时间（TTL）来纠错，但路由环路问题可能首先要求无穷计数。为了避免这个延时问题，距离矢量协议定义了一个最大值，这个数字是指最大的度量值（如rip协议最大值为16），比如跳数。也就是说，路由更新信息可以向不可到达的网络的路由中的路由器发送15次，一旦达到最大值16，就视为网络不可到达，存在故障，将不再接受来自访问该网络的任何路由更新信息。 2.水平分割：一种消除路由环路并加快网络收敛的方法是通过叫做“水平分割”的技术实现的。其规则就是不向原始路由更新的方向再次发送路由更新信息（个人理解为单向更新，单向反馈）。比如有三台路由器ABC，B向C学习到访问网络10.4.0.0的路径以后，不再向C声明自己可以通过C访问10.4.0.0网络的路径信息，A向B学习到访问10.4.0.0网络路径信息后，也不再向B声明，而一旦网络10.4.0.0发生故障无法访问，C会向A和B发送该网络不可达到的路由更新信息，但不会再学习A和B发送的能够到达10.4.0.0的错误信息。 3.路由中毒（也称为路由毒化）：定义最大值在一定程度上解决了路由环路问题，但并不彻底，可以看到，在达到最大值之前，路由环路还是存在的。为此，路由中毒就可以彻底解决这个问题。其原理是这样的：假设有三台路由器ABC，当网络10.4.0.0出现故障无法访问的时候，路由器C便向邻居路由发送

路由引入造成环路

背景需求：在现实中，有可能在网络中同时运行了多种路由协议，同时达到网络物理层存在备份效果，甚至采用多边界的方法。在多协议、多边界设备网络环境下，需要进行路由协议间的引入和策略，才能实现全网通信、环路杜绝。 6.2.2 拓扑图、需求：要求如图配置，使得全网互通（在R2上ospf引入rip，R5上rip引入ospf）。同时保证当R1上192路由down时，网络不能存在环路提示：使用tag标记+ 路由策略实现沈相宇 r1: interface LoopBack0 ip address 192.168.1.100 255.255.255.255 interface GigabitEthernet0/1/1 port link-mode route ip address 12.1.1.1 255.255.255.0 interface GigabitEthernet0/1/2 port link-mode route ip address 15.1.1.1 255.255.255.0 ospf 1 area 0.0.0.0 network 192.168.1.100 0.0.0.0 network 12.1.1.0 0.0.0.255 network 15.1.1.0 0.0.0.255 r2: interface GigabitEthernet0/1/0

ip address 12.1.1.2 255.255.255.0 interface GigabitEthernet0/1/1 ip address 23.1.1.2 255.255.255.0 ospf 1 import-route direct import-route rip 1 cost 20 tag 20 area 0.0.0.0 network 12.1.1.0 0.0.0.255 rip 1 undo summary version 2 network 23.0.0.0 r3: interface GigabitEthernet0/1/0 ip address 23.1.1.3 255.255.255.0 interface GigabitEthernet0/1/2 ip address 35.1.1.3 255.255.255.0 rip 1 undo summary version 2 network 23.0.0.0 network 35.0.0.0 r5: interface GigabitEthernet0/1/0 ip address 15.1.1.5 255.255.255.0 interface GigabitEthernet0/1/2 ip address 35.1.1.5 255.255.255.0 ospf 1 area 0.0.0.0 network 15.1.1.0 0.0.0.255 rip 1 undo summary version 2 network 35.0.0.0 import-route direct import-route ospf 1 route-policy qwe route-policy qwe deny node 10 if-match tag 20 route-policy qwe permit node 20

路由环路&次优路径

实验目的:解决路由环路路由环路存在的环境为，路由重分发且AD不一致的时候。路由AD值高的路由会出现路由环路。以下作出演示，并提出解决方案。实验需求:R1 R2 R3启用RIP V2路由协议，R1 R2 R4启用ospf。R1的回环口宣告进RIP，R2的回环口宣告进OSPF。 R1 Config t No ip domain-lookup Line con 0 Exec-timeout 0 0 Logg syn Exit Int loop 0 Ip add 1.1.1.1 255.255.255.0 No shut Int s0/0 Ip add 13.1.1.1 255.255.255.0 No shut Int s0/1 Ip add 14.1.1.1 255.255.255.0 No shut Exit Router ospf 110 Router-id 1.1.1.1 Network 14.1.1.0 0.0.0.255 a 0 Exit Router rip Ver 2

No auto-summary Network 1.1.1.0 Network 13.1.1.0 Exit R2 Config t No ip domain-lookup Line con 0 Exec-timeout 0 0 Logg syn Exit Int loop 0 Ip add 2.2.2.2 255.255.255.0 No shut Int s0/0 Ip add 24.1.1.2 255.255.255.0 No shut Int s0/1 Ip add 23.1.1.2 255.255.255.0 No shut Exit Router ospf 110 Router-id 2.2.2.2 Network 24.1.1.0 0.0.0.255 a 0 Network 2.2.2.0 0.0.0.255 a 0 Exit Router rip Ver 2 Network 23.1.1.0 Exit R3 Config t No ip domain-lookup Line con 0 Logg syn Exec-timeout 0 0 Exit Int loop 0 Ip add 3.3.3.3 255.255.255.0 No shut Int s0/1 Ip add 23.1.1.3 255.255.255.0

案例-路由环路浅谈、解决方案

路由环路浅谈在网络中，有时候会感觉网速突然变得很慢，通常都是由于网络中存在着一些异常流量所造成的。何谓异常流量？ 1、大量流量导致网络拥塞。 2、发送大量数据包导致网络设备处理性能下降。 3、异常报文导致网络拓扑或链接状态改变。在其中包含了以下几个部分： 1、病毒：包含了蠕虫，木马，ARP攻击的病毒等会传播并导致网络瘫痪。 2、网络攻击：DOS攻击行为，ARP攻击行为等可能造成网络瘫痪的攻击。 3、错误的网络设置：路由环路可能造成设备处理性能的降低，严重时可能导致网络瘫痪。 4、不正当的应用：P2P下载，在线观看视频等可能造成设备处理性能降低，网络拥塞。今天，主要给大家讲述一下路由环路的产生，如何用科来网络分析软件找到路由环路，以及一些解决的办法。首先来讲一下路由环路的产生。在网络配置中，最容易发生路由环路产生的原因就是静态路由，过多的静态路由的配置，导致网络在拓扑上产生混乱，在不经意间，就会产生路由环路。其次，一些动态路由协议，例如距离向量型协议：RIP等也有可能产生路由环路。 1、静态路由产生环路。在路由器的配置上，有时候静态路由确实是比较方便的配置方法，只需要一条命令，就可以实现路由器之间的通信。而不想动态路由协议，需要对路由器配置多条命令来实现。但是，在实现路由冗余的时候，很容易就产生路由环路。比如在R1和R2之间连上两条网线做冗余，一条从R1指向R2，一条从R2指向R1，这时候数据就会不停在R1与R2之间传输，占用了设备的资源，导致设备性能变差。 2、链路状态型路由协议产生环路。链路状态型路由协议通过向所有接口周期性的广播路由更新来跟踪整个网络的变化，这些广播包括了完整的路由表，但却给处理器和带宽增加了负担。若收敛过慢会产生路由环路。如图所示：

路由环路&次优路径

1实验目的:解决路由环路路由环路存在的环境为，路由重分发且AD不一致的时候。路由AD值高的路由会出现路由环路。以下作出演示，并提出解决方案。实验需求:R1 R2 R3启用RIP V2路由协议，R1 R2 R4启用ospf。R1的回环口宣告进RIP，R2的回环口宣告进OSPF。 R1 Config t No ip domain-lookup Line con 0 Exec-timeout 0 0 Loggsyn Exit Int loop 0 Ip add 1.1.1.1 255.255.255.0 No shut Int s0/0 Ip add 13.1.1.1 255.255.255.0 No shut Int s0/1 Ip add 14.1.1.1 255.255.255.0 No shut Exit Router ospf 110 Router-id 1.1.1.1 Network 14.1.1.0 0.0.0.255 a 0

Exit Router rip Ver 2 No auto-summary Network 1.1.1.0 Network 13.1.1.0 Exit R2 Config t No ip domain-lookup Line con 0 Exec-timeout 0 0 Loggsyn Exit Int loop 0 Ip add 2.2.2.2 255.255.255.0 No shut Int s0/0 Ip add 24.1.1.2 255.255.255.0 No shut Int s0/1 Ip add 23.1.1.2 255.255.255.0 No shut Exit Router ospf 110 Router-id 2.2.2.2 Network 24.1.1.0 0.0.0.255 a 0 Network 2.2.2.0 0.0.0.255 a 0 Exit Router rip Ver 2 Network 23.1.1.0 Exit R3 Config t No ip domain-lookup Line con 0 Loggsyn Exec-timeout 0 0 Exit Int loop 0 Ip add 3.3.3.3 255.255.255.0

距离矢量路由协议及路由环路

第七讲:距离矢量路由协议及路由环路回顾昨天:提问:1、距离矢量路由协议包括哪几种?2、路由器是如何确定最佳路由的说出步骤? 今天内容:距离矢量路由协议及确保路由表条目的的正确的六种方法,及六种方法的结合使用。一、距离矢量路由协议学习路由的方法首先明确一点,该协议并不能学到整个网络的拓扑。只能靠学习邻居路由表内容来学习路由。但每个路由表中只有最佳路径(也就是路由)。也就是说只有目的地方向(路由器接口)和距离,于是被叫距离矢量。举例:高速路上开车,没有地图,出错,只能打听。而打听的人也不知道还要向另外的人打听(好比路由器问邻居路由器,邻居也不知道于是就要再问下一个邻居,这样收敛的速度可想而知) 1、距离矢量路由协议是通过传递路由更新包来学习路由的(见图10-1),在图10-2到10-4是说明了RIP路由协议是怎样来学习路由的。在路由协议刚刚运行的时候,路由器没有开始相互发送UPDATE 包,于是路由表里只有自己直连的网段,管理距离是0。如图10-2,路由器学到了自己直连的网段后便开始向邻居路由器发送更新包了,此包里包含我们发布的路由。(一台路由器所直接连接的网段

必须发布在路由协议里才能够被放到 UPDATE包里传送)这样路由器就学到了其他路由器的路由了见图10-3。路由器学到了邻居的路由再打包向邻居发, 这样所有路由器会学到所有的路由条目。如图10-4(注意此图的RIP为RIPV2,找同学说为什么) #########注意:从以上可以看出距离矢量路由协议就是靠和邻居之间周期性的交换路由表来一步一步学到远端路由的####### 2、路由更新包的格式决定了路由协议是有类还是无类。实际上有类的路由协议出现的比较早,当时没有出现子网。路由学到的都是正规的ABC 类网段。RIP V1等距离矢量路由协议的更新包里没有放掩码位的地方,虽然能学到子网的网段但没有掩码来确定网络位,于是把学到的子网网段自动归为主类网从而学不到子网变成了事实。 RIP V2加入了放掩码的空间于是能用该掩码与学到的IP做与的运算,于是能学到子网特例:见图10-5与昨天讲的图9-8做比较