Windows中的路由表理解与实践.docx
《Windows中的路由表理解与实践.docx》由会员分享,可在线阅读,更多相关《Windows中的路由表理解与实践.docx(10页珍藏版)》请在冰豆网上搜索。
Windows中的路由表理解与实践
Windows中的路由表的理解与实践
理解路由表
你可以运行routeprint或netstat-r显示本地计算机上的路由表,如下图所示:
C:
\routeprint
===========================================================================
InterfaceList
0x1...........................MSTCPLoopbackinterface
0x2...000b2f45580d......RealtekPCIeFEFamilyController-数据包计划程序微型端口
0x3...08002700a88c......VirtualBoxHost-OnlyEthernetAdapter-数据包计划程序微型端口
===========================================================================
ActiveRoutes:
DefaultGateway:
192.168.1.1
===========================================================================
PersistentRoutes:
None
路由表中的每一个路由项具有五个属性,在此我将它们分为四个部分:
1、网络地址(NetworkDestination)、网络掩码(Netmask):
网络地址和网络掩码相与的结果用于定义本地计算机可以到达的网络目的地址范围。
通常情况下,网络目的地址范围包含以下四种:
*主机地址;某个特定主机的网络地址,网络掩码为255.255.255.255,如上表中的6、7、9;
*子网地址,某个特定子网的网络地址,如上表中的4、5;
*网络地址;某个特定网络的网络地址,如上表中的2、3、8;
*默认路由;所有未在路由表中指定的网络地址,如上表中的1,在后文将详细描述;
在添加路由时,Windows要求输入的网络地址和网络掩码相与后的结果必须等于网络地址,否则路由添加会失败。
2、网关(Gateway,又称为下一跳服务器):
在发送IP数据包时,网关定义了针对特定的网络目的地址,数据包发送到的下一跳服务器。
如果是本地计算机直接连接到的网络,网关通常是本地计算机对应的网络接口,但是此时接口必须和网关一致;如果是远程网络或默认路由,网关通常是本地计算机所连接到的网络上的某个服务器或路由器。
3、接口(Interface):
接口定义了针对特定的网络目的地址,本地计算机用于发送数据包的网络接口。
网关必须位于和接口相同的子网(默认网关除外),否则造成在使用此路由项时需调用其他路由项,从而可能会导致路由死锁。
4、跃点数(Metric):
跃点数用于指出路由的成本,通常情况下代表到达目标地址所需要经过的跃点数量,一个跃点代表经过一个路由器。
跃点数越低,代表路由成本越低;跃点数越高,代表路由成本越高。
当具有多条到达相同目的网络的路由项时,TCP/IP会选择具有更低跃点数的路由项。
路由确定过程
当TCP/IP需要向某个IP地址发起通信时,它会对路由表进行评估,以确定如何发送数据包。
评估过程如下:
*TCP/IP使用需要通信的目的IP地址和路由表中每一个路由项的网络掩码进行相与计算,如果相与后的结果匹配对应路由项的网络地址,则记录下此路由项;
*当计算完路由表中所有的路由项后,TCP/IP选择记录下的路由项中的最长匹配路由(网络掩码中具有最多“1”位的路由项)来和此目的IP地址进行通信。
如果存在多个最长匹配路由,那么选择具有最低跃点数的路由项;如果存在多个具有最低跃点数的最长匹配路由,那么:
o如果是发送响应数据包,并且数据包的源IP地址是某个最长匹配路由的接口的IP地址,那么选择此最长匹配路由;
o其他情况下均根据最长匹配路由所对应的网络接口在网络连接的高级设置中的绑定优先级来决定。
网关和接口确定过程
在确定使用的路由项后,网关和接口通过以下方式确定:
*如果路由项中的网关地址为空或者为本地计算机上的某个网络接口,那么在发送数据包时:
o通过路由项中对应的网络接口发送;
o源IP地址为此网络接口的IP地址;
o源MAC地址为此网络接口的MAC地址;
o目的IP地址为接收此数据包的目的主机的IP地址;
o目的MAC地址为接收此数据包的目的主机的MAC地址;
*如果路由项中的网关地址并不属于本地计算机上的任何网络接口,那么在发送数据包时:
o通过路由项中对应的网络接口发送;
o源IP地址为路由项中对应网络接口的IP地址;
o源MAC地址路由项中对应网络接口的MAC地址;
o目的IP地址为接收此数据包的目的主机的IP地址;
o目的MAC地址为网关的MAC地址;
在此以上面的路由表为基础,举例进行说明:
*和单播IP地址192.168.1.8的通信:
在进行相与计算时,1、3项匹配,但是3项为最长匹配路由,因此选择3项。
3项的网关地址为本地计算机的网络接口192.168.1.6,因此发送数据包时,目的IP地址为192.168.1.8、目的MAC地址为192.168.1.8的MAC地址(通过ARP解析获得)。
*和单播IP地址192.168.1.6的通信:
在进行相与计算时,1、3、6项匹配,但是6项为最长匹配路由,因此选择6项。
6项的网关地址为本地环回地址127.0.0.1,因此直接将数据包发送至本地环回地址。
*和单播IP地址192.168.1.245的通信:
在进行相与计算时,1、3、4、5项匹配,但是4、5项均为最长匹配路由,所以此时根据跃点数进行选择,5项具有更低的跃点数,因此选择5项;在发送数据包时,目的IP地址为192.168.1.254、目的MAC地址为192.168.1.7的MAC地址(通过ARP解析获得)。
*和单播IP地址10.1.1.1的通信:
在进行相与计算时,只有1项匹配;在发送数据包时,目的IP地址为10.1.1.1、目的MAC地址为192.168.1.1的MAC地址(通过ARP解析获得)。
*和子网广播地址192.168.1.255的通信:
在进行相与计算时,1、3、4、5、7项匹配,但是7项为最长匹配路由,因此选择7项。
7项的网关地址为本地计算机的网络接口,因此在发送数据包时,目的IP地址为192.168.1.255,目的MAC地址为以太网广播地址FF:
FF:
FF:
FF:
FF:
FF。
*默认路由与默认网关
由于在路由表中存储针对每个主机或子网的路由项不可行,因此提出了默认路由:
0.0.0.0,网络掩码为0.0.0.0,它匹配任何网络通信,因此当到达特定主机或特定子网的路由并未在路由表中指定时,均可以通过默认路由来进行转发。
如果没有设置默认路由,那么无法到达未在路由表中指定路由项的网络目的地址。
设置默认路由后,把数据包的路由责任移交到了路由器,优点是简化了本地计算机上的路由表和配置,缺点则是计算机无法明确目的地址是否可达,从而可能发送针对不可到达地址的流量。
虽然位于路由路径上的路由器知道目的地址不可达时会使用ICMP目的地址不可达信息来通知原始发送主机,但是这个过程中,已经占用了额外的网络流量。
在Windows系统中,创建默认路由可以通过以下两种方式实现:
o在网络接口的TCP/IP选项中设置默认网关,从而创建默认路由;
o使用routeadd命令添加网络地址为0.0.0.0、网络掩码为0.0.0.0的默认路由;推荐大家总是使用前一种方式。
配置多个网关
你可以在单个网络接口、多个网络接口上同时配置多个默认网关,但是TCP/IP同时只会使用一个默认网关(默认路由),这个当前使用的默认网关称为活动默认网关(活动默认路由)。
当不同网络接口所连接的网络之间没有连接性时(如一个网络接口连接到Internet,而一个网络接口连接到内部网络),在多个网络接口上同时配置默认网关可能会带来连接性问题(具体的问题我将在后文描述),因此微软不推荐大家在多个网络接口上同时配置默认网关,并且当你进行这种配置时会进行警告,不过不会阻止你的操作。
当在配置多个默认网关时,将根据以下条件来选择活动默认网关:
o当路由表中具有多个默认网关时,TCP/IP根据跃点数来进行选择,跃点数最低的默认网关具有最高的优先级;
o如果路由表中具有多个具有最低跃点数的默认网关,那么TCP/IP根据默认网关对应的网络接口在网络连接的高级设置中的绑定优先级来决定。
不活动网关检测
TCP/IP会通过死网关检测算法来检测当前活动的默认网关是否存活,如果活动默认网关发生故障,则TCP/IP会及时调整路由表,选择使用下一个默认网关,选择方式与原方式一致,只是排除了发生故障的原活动默认网关。
死网关检测算法的完整描述如下:
当TCP/IP在通过活动默认网关向某个目标IP地址进行TCP通信时,如果失败的尝试次数达到TcpMaxDataRetransmissions注册表值(默认为5)的一半(即3次)还没有收到响应,TCP/IP将到达该目标IP地址的通信改为使用列表中的下一默认网关。
当超过25%的TCP连接转向下一默认网关时,TCP/IP将活动默认网关修改为这些连接当前使用的默认网关。
如果此时原始默认网关从故障中回复,TCP/IP将继续使用当前的活动默认网关,而不会转移到原始默认网关,除非重启计算机。
如果当前的活动默认网关也出现故障,那么TCP/IP就会继续尝试使用列表中的下一个默认网关,在尝试完整个列表后将返回到列表的开始,又从第一个默认网关开始进行尝试。
死网关检测仅监视TCP流量,如果其他类型的流量连接失败,不会切换默认网关。
另外TCP是端到端的协议,因此即使当前默认网关完全正常,本地计算机的TCP通信失败也可能会导致切换默认网关。
当不同网络接口所连接的网络之间没有连接性时(如一个网络接口连接到Internet,而一个网络接口连接到内部网络),如果在多个网络接口上同时配置默认网关,在活动默认网关出现故障导致切换默认网关时,就可能会引起连接性故障。
比如活动默认网关为Internet连接,当它出现问题时,此时默认网关切换为内部连接,此时,本地计算机将无法再访问位于Internet连接上的主机。
对于这种情况,微软建议使用routeadd来添加对应目的网络的匹配路由,而不是设置多个默认网关。
网关行为
TCP/IP主机可以使用以下方法到达远程目标地:
•存储针对每个远程目的地的特定于主机的路由。
这显然不实用或不可行,因为路由器表可能必须包含数千甚至数百万(对于Internet的情况)个路由。
主机路由表必须在添加新地址或删除地址时进行变更。
•存储针对每个远程子网的网络路由。
虽然这种方法更为可行,但是也不实用,因为路由器表仍然可能必须包含数百或数万(对于Internet的情况)个路由。
主机路由表将必须在添加新子网或删除子网时进行变更。
•存储单个默认路由,其可以有效地汇总不在本地子网上的所有位置。
这种方法切实可行,只需单个路由,并且在从网络中添加或删除节点或子网时不需要进行变更。
通过使用默认路由,对于网络拓扑结构和可达目的地集的认知将被载入路由器,而不是发送主机的职责。
这种方法的优点是易于配置,缺点则是主机可能发送针对不可到达地址的流量。
当这种情况发生时,到目标地址的路径中的某个路由器会使用一条ICMPDestinationUnreachable-HostUnreachable(ICMP目的地址不可达-主机不可达)信息来通知发送主机。
在IP路由表中创建默认路由的默认网关设置是TCP/IP主机配置的重要组成部分。
默认网关的作用是对不在其子网上的所有目的地提供下一跳IP地址和接口。
如果没有默认网关,与远程目标地址的通信就无法进行,除非向IP路由表添加额外的路由。
网关配置
您可以通过以下方式在运行WindowsXP或WindowsServer2003的计算机上配置一个默认网关:
•当使用DHCP来获得IP地址配置时,默认网关就变成了“路由器DHCP”(RouterDHCP)选项中的第一个IP地址的值;可在DHCP服务器上配置“路由器DHCP”选项,其可指定一个或多个默认网关的有序列表。
•当使用用户配置的备用配置来获得IP地址配置时,默认网关是“网络连接”中“Internet协议(TCP/IP)”组件属性的备用配置选项卡上的默认网关字段中所指定的IP地址。
您可以仅指定单个默认网关。
•当手动指定一个IP地址配置时,默认网关是在“Internet连接协议(TCP/IP)”属性的常规选项卡上的默认网关字段中键入的IP地址。
为了指定多个默认网关,您必须从“Internet连接协议(TCP/IP)”高级属性中的IP设置选项卡上进行添加。
当使用“自动专用IP寻址”(AutomaticPrivateIPAddressing,APIPA)来获得IP地址配置时,未配置默认网关。
APIPA仅适用于单个子网。
默认网关配置将在IP路由表中创建一个默认路由。
该默认路由的目的地为:
0.0.0.0,子网掩码为:
0.0.0.0。
在网络前缀表示法中,该默认路由为:
0.0.0.0/0,有时被缩写成:
0/0。
下一跳地址,即routeprint命令中的网关地址,被设置为默认网关的IP地址。
下一跳接口是routeprint命令的Interface列中所分配地址的接口。
基于路由确定程序,默认路由与所有目的地相匹配。
如果没有针对目标地址的更匹配的路由,则使用默认路由来确定下一跳地址和接口。
默认路由流量是被转发到默认网关的发送到远程网络的流量(而不是发送到默认网关的IP地址的流量)。
路由量度
默认情况下,WindowsXP和WindowsServer2003的TCP/IP基于默认网关所配置的适配器的速度来自动计算默认路由量度。
例如,对于一个100Mbps的以太网络适配器,默认路由量度被设定为20,而对于一个10Mbps的以太网络适配器,默认路由量度被设定为30。
为了改变DHCP分配的默认网关的这种行为,可以使用“RouterMetricBaseMicrosoft-specificDHCP”选项。
为了改变手动配置的默认网关的这种行为,您可以针对所配置的默认网关,在“Internet连接协议(TCP/IP)”的高级属性中的“IP设置”选项卡上,清除TCP/IP网关地址对话框上的自动量度复选框。
T
配置多个网关
如果您有多个接口,并为每个接口配置了一个默认网关,那么基于接口速度的默认量度确定就会导致将最快的接口用于默认网关流量。
这在计算机连接到相同网络的某些配置中也许是可取的。
例如,如果您有一个100Mbps的以太网络适配器和一个10Mbps的以太网络适配器,它们连接到同一个组织的intranet(企业内联网),那么你会希望使用100Mbps的适配器来发送默认网关流量。
然而,当计算机连接到两个或更多分散的(disjoint)网络(即在网络层没有提供对称可达性的网络)时,这种默认行为可能构为问题。
只有当数据包能够从任意目的地发送和接收时,才存在对称可达性。
例如,Ping工具可用于测试对称可达性。
分散网络的示例如下:
•没有网络层连接的网络,比如:
组织的intranet和测试实验室网络,它们之间没有用于转发数据包的路由器。
计算机能够同时连接到这两个网络,但是如果没有同时到达这两个网络的路由,并且连接它们的计算机没有转发数据包,那么这两个网络就是分散的。
•具有对Internet的路由连接的专用intranet。
在这种情况下存在非对称或单向可达性;intranet主机能够从专用IP地址向Internet主机发送数据包,但是返回流量无法送达,因为用于专用地址空间的路由在Internet的路由器础结构中不存在。
当组织使用以下配置时,针对分散网络的连接性能将变得很重要:
•使用一个代理服务器(比如:
MicrosoftInternetSecurityandAcceleration(ISA)Server2000)或者一个网络地址转换器(NAT),将其专用的intranet连接到Internet。
在任一种情况下,不管该组织是正在使用的是专用寻址还是公用寻址,intranet的地址空间对Internet主机来说都无法直接触及。
Intranet主机能够通过代理或转换功能间接访问Internet,但是Internet主机不能直接访问任意intranet位置。
因而它们之间不存在对称可达性,这就是组织给他们的员工所提供的Internet连接的常用配置。
•使用虚拟专用网络(VPN)服务器来允许远程用户或远程站点通过Internet连接到专用intranet。
虽然该VPN服务器同时连接到Internet和一个专用intranet,并且充当路由器,但是Internet接口上的数据包过滤器配置阻止其接受任何不是基于VPN的流量。
如果没有经过身份验证的VPN连接,Internet主机就无法直接达到intranet位置。
由于在任何时候对于默认路由流量,TCP/IP协议仅使用路由表中的单个默认路由,因此在连接到分散网络的多个接口上配置的默认网关可能产生不必要的结果。
对于ISA或VPN服务器的例子,默认路由流量要么被转发到Internet,要么被转发到intranet,但是不会同时转发到这两个网络。
从ISA或VPN服务器的角度看,Internet上的所有位置都是可触及的,或者intranet上的所有位置都是触及的,但是无法同时触及。
然而,IAS或VPN服务器需要Internet和intranet上的所有位置实现同时对称可达性,才能正确运作。
当在多个接口上配置默认网关时,选择用于当前使用的默认路由将基于以下条件:
•当路由表中存在具有不同量度的多个默认路由时,WindowsXP和WindowsServer2003选择具有最低量度的默认路由。
如果适配器具有不同的速度,那么具有最高速度的适配器默认具有最低的量度,因此将使用其转发默认路由流量。
•当路由表中存在多个具有最低量度的默认路由时,WindowsXP和WindowsServer2003的TCP/IP将使用与绑定次序排位最高的适配器相对应的默认路由。
您可以在“网络连接”的高级设置对话框中的适配器和绑定选项卡上查看和修改绑定次序。
为了防止分散网络不可达的问题,您必须在ISA或VPN服务器上完成以下步骤:
•在连接到具有最多路由数量的网络的接口上配置一个默认网关。
在大多数分散网络的配置中,具有最多路由数量的网络是Internet。
•不要在其他任何接口上配置默认网关。
相反,您应该使用静态路由或动态路由协议,将其他分散网络的地址汇总到本地IP路由表。
例如,假设一台ISA服务器连接到Internet和一个专用intranet。
该专用intranet使用专用IP地址空间。
要配置这台服务器以便两个分散网络上的所有地址对ISA服务器来说都可达,您需要在ISA服务器上完成以下步骤:
•在连接到Internet的适配器上配置一个默认网关。
这样将创建一个指向Internet的默认路由,使得所有Internet位置可达。
•通过Route工具,使用连接到intranet的适配器作为持久静态路由来添加10.0.0.0/8、172.16.0.0/12和192.168.0.0/16路由。
这样将创建用于汇总所有专用intranet地址的路由,使得所有intranet位置均可达。
这个例子添加了静态路由。
也可以将ISA服务器配置为一个“路由信息协议(RIP)”或“开放最短路径优先(OSPF)”动态路由器,以便您不必汇总整个专用IP地址空间,而是基于当前intranet路由拓扑结构来从IP路由表中动态添加或删除特定于子网的路由。
要使用RIP或OSPF,您可以配置“路由和远程访问”服务。
失效网关检测
失效网关检测由WindowsTCP/IP用于检测默认网关的故障,以及用于调整IP路由表,以便在配置了多个默认网关的情况下使用下一个默认网关。
当通过默认网关转发的某个TCP连接的TCP网段重传三次时(默认情况),失效网关检测将更改该远程IP地址的路由缓存项(RouteCacheEntry,RCE),从而使用列表中的下一个默认网关来作为下一跳地址。
RCE是路由表中的一个条目,用于存储目的地的下一跳IP地址。
当四分之一通过默认网关来路由的TCP连接都将它们的RCE调整为下一个默认网关时,失效网关检测就会通知IP将计算机的默认网关改为调整后的连接正在使用的那个网关。
如果TCP连接继续发生失败,失效网关检测就会尝试使用列表中的下一个默认网关,在尝试完整个列表后将返回第一个默认网关。
失效网关检测仅监视TCP流量。
如果其他类型的流量的连接失败,默认网关不会被切换。
失效网关检测可能会在某个远程路由器失败时导致默认网关配置发生变化。
主机和目的地之间的路径中发生故障的远程路由器也可能导致沿着该路径转发的TCP连接失败,并导致主机切换它的默认网关。
由于失效网关检测依赖端到端的协议(比如:
TCP),即使当前默认网关完全正常,主机也可能会切换它的默认网关。
有关Internet协议路由中的“自动跃点计数”功能的说明
概要
本文介绍windowsXP的Internet协议(IP)路由中所使用的“自动跃点计数”功能。
更多信息
跃点数是为用于特殊网络接口的IP路由分配的值,用来标识与使用该路由有关的成本。
例如,可以根据链接速度、跃点计数或时间延迟来计算跃点数。
“自动跃点计数”是windowsXP中的一个新增功能,它可以自动为基于链接速度的本地路由配置跃点数。
默认情况下,将启用“自动跃点计数”功能,也可以进行手动配置,为其赋予一个具体的跃点数。
当路由表中包含用于同一目的地的多个路由时,“自动跃点计数”功能便非常有用。
例如,如果您的计算机具有一个10兆位(Mb)的网络接口和一个100Mb的网络接口,并且该计算机具有一个在两个网络接口上均已配置的默认网关,那么“自动跃点计数”功能就会为较慢的网络接口分配较高的跃点数。
该功能会强制流向Internet的所有流量,例如,使用可用的最快网络接口。
注意:
通常情况下,Microsoft不建议您跨越不相连的网络来添加默认网关。
例如,诸如网络地址转换(NAT)服务器和代理服务器等边缘服务器,通常都被配置为连接两个或多个不相连的网络:
公共Internet和一个或多个专用Intranet。
在这种情况下,不应在专用接口上分配默认网关,因为这样做有可能导致网络上的路由不正确。
下表概述了为绑定到各种速度的网络接口的路由分配跃点数的标准:
链接速度跃点数
大于200Mb10
大于20Mb,并且小于或等于200Mb20
大于4Mb,并且小于或等于20Mb30
大于500千位(Kb),并且小于或等于4Mb40
小于或等于500Kb50
下表列出了运行windowsXPServicePack2的计算机的链接速度和跃点数
升级会员 