给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
二、数据包类型
分类:
- HELLO 包:用于 邻居间的发现,关系建立 及 保活,每 10s 发送一次。
- DBD/DD 包:数据库描述包,用于携带 本地数据库目录。
- LSR 包:链路状态请求包,在查看完 对端邻居的 DD 包 后,基于 本地的位置 查询 LSA,随后去 索要未知的 LSA 信息,就通过这个 LSR 包。
- LSU 包:链路状态更新包,用于携带 各种 LSA 信息。
- LSACK 包:链路状态确认包,用于确认 接收到 对端的信息。
三、状态机
图解:
- Down 状态:表示未激活的状态,一旦 本地发出 hello包,则进入下一个状态,接收到 hello包后,也会 被动进入 Init状态。
- Init 状态:表示初始化状态,发出 或者 接收 到 hello 包 都会进入到 Init 状态。
- Two-way/2-way 状态:双向通信,表示建立了邻居关系;经过 条件匹配,成功则进入下一个状态机,失败则停留在 2-way 状态。
- Ex-start 状态:预启动状态,发出 空的 DD 包,比较 RID 的大小,进行 主从选举,以 RID 大的为主。
- Exchange 状态:准交换状态,发送 有目录的 DD 包,双方交换 DD 报文,描述自己拥有的 LSA 信息。
- Loading 状态:加载状态,在查看完 对端邻居 的 DD 包 后,使用 LSR 包来 询问自己位置的 LSA 信息,对端 使用 LSU 包 进行回复,本地还需要 使用 LSACK 包 进行确认回复。
- Full 状态:邻接关系建立的标识,两者从 邻居关系 变为 邻接关系。
四、工作过程
- 启动配置完成后,本地组播 224.0.0.5 发送 hello 包;
- hello 包将携带 本地的 RID 值 及 已知邻居的 RID 值。
- 若接收到 对端的 hello 包中 有 自己的RID,则视为 认识 ;双方都认识则代表 邻居关系的建立,生成邻居表,开始进行 条件匹配;
- 匹配成功,则进入下一个阶段 ;不成功,则永远是邻居,使用 空的DBD包 进行 主从选举。
- 对比 RID,大为优,且 优先进入 下一个状态,优先共享数据库目录,之后使用 LSR/LSU/LSACK 包 来 获取未知的LSA信息 并 加载于本地的LSDB中 。
- 启用 SPF算法 ,基于 本地 LSDB 生成 有向图,再计算出 最短路径树,再基于 树形结构 算出以本地为起始点 到达 全网各个节点的最优路径,最后加载于 本地路由表 中,收敛完成 后,发送 hello 包保活 即可。
- 每 30min 进行一次 周期更新,周期更新即为 对比数据库目录,如果相同,则继续 hello 包 保活,如果不相同,则重新收敛。
结构突变
- 新增一个网段:直连新增网络设备,直接使用更新包告知邻接关系,需要 ack确认。
- 断开一个网段:直连断开网络设备,直接使用更新包告知邻接关系,需要ack确认。
- 无法沟通: hello time 10s ,dead time 40s,时间到了就会删除邻居信息。
五、基础配置
进程区域:
ospf [进程号] router-id [IP地址]
创建 ospf 进程号为1,仅具有本地意义,同时 定义 RID值,建议使用 IP地址,全网需要唯一。
如果不定义 RID 值,则会自动生成,建议手动配置。
area [区域号]
进入对应区域,只能有一个 骨干区域。
宣告:
反掩码:将掩码反过来
network [宣告IP/网段] [反掩码]
- 0 将 对应的网络位 锁死,主机位 表示 除本来的地址之外 还有的变化。
- IP地址 的反掩码 全部锁死,即为 0.0.0.0
- 网段 的反掩码 用 255.255.255.255 减去 对应网段掩码 即可。
例:
IP地址 1.1.1.1 反掩码为 0.0.0.0,除 1.1.1.1 外还有 0种 变化。
网段 12.1.1.0 反掩码为 0.0.0.255,除 12.1.1.0 外还有 255种 变化。
参考带宽修改:
首先 进入 ospf 域
bandwidth-reference [网速]
例:修改参考带宽 为1000Mbits/s
[R1-ospf-1]bandwidth-reference 1000
注意:一旦修改参考带宽,需全网所有设备都修改一致。
查询配置表:
display ospf peer
查询 详细邻居关系
display ospf brief
查询 邻居表
display ospf lsdb [router-id] [RID 值]
查询 链路状态数据库
后面跟上 RID 值 可以查询 单独对应的 router 详细信息。
练习一:
### 首先进行基础配置 ### #创建 ospf 进程,进程号为 1,同时定义 RID 值 [R1]ospf 1 router-id 1.1.1.1 #进入 区域 0 [R1-ospf-1]area 0 #宣告 IP地址 [R1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 #宣告 网段 [R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 #R2 配置,R2 为 域间路由器 [R2]ospf 1 router-id 2.2.2.2 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0 #R2 为 域间路由器,还要配置 骨干区域 1 [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]network 23.1.1.1 0.0.0.0 #R3 配置 [R3]ospf 1 router-id 3.3.3.3 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]network 23.1.1.2 0.0.0.0 [R3-ospf-1-area-0.0.0.1]network 3.3.3.3 0.0.0.0 #查看 宣告配置 [R3-ospf-1-area-0.0.0.1]display this #查看 ospf 配置 [R3]display ip routing-table protocol ospf
#连接测试,成功 ping通 [R1]ping -a 1.1.1.1 3.3.3.3 #查询 邻居详细关系 [R1]display ospf peer
#查询 链路状态数据库 [R1]display ospf lsdb
#查询 数据库中 不同地址的详细信息 [R1]display ospf lsdb router 12.1.1.1 [R1]display ospf lsdb router 1.1.1.1
练习二:
这里我们选择 R2 作为 域间路由器 ,先进行基础配置。
#R1 配置 [R1]ospf 1 router-id 1.1.1.1 #R1 为 1区 [R1-ospf-1]area 1 #宣告 [R1-ospf-1-area-0.0.0.1]network 1.1.1.1 0.0.0.0 [R1-ospf-1-area-0.0.0.1]network 12.1.1.1 0.0.0.0 #R3 配置 [R3]ospf 1 router-id 4.4.4.4 #R3 为 2区 [R3-ospf-1]area 2 [R3-ospf-1-area-0.0.0.2]network 4.4.4.4 0.0.0.0 [R3-ospf-1-area-0.0.0.2]network 24.1.1.2 0.0.0.0 #R4 配置 [R4]ospf 1 router-id 3.3.3.3 #R4 为 0区 [R4-ospf-1]area 0 [R4-ospf-1-area-0.0.0.0]network 3.3.3.3 0.0.0.0 [R4-ospf-1-area-0.0.0.0]network 23.1.1.2 0.0.0.0 ### R2 配置 ### [R2]ospf 1 router-id 2.2.2.2 #R2 为 3区 [R2-ospf-1]area 3 [R2-ospf-1-area-0.0.0.3]network 2.2.2.2 0.0.0.0 #连通 0区 [R2-ospf-1-area-0.0.0.3]area 0 [R2-ospf-1-area-0.0.0.0]network 23.1.1.1 0.0.0.0 #连通 1区 [R2-ospf-1-area-0.0.0.0]area 1 [R2-ospf-1-area-0.0.0.1]network 12.1.1.2 0.0.0.0 #连通 2区 [R2-ospf-1-area-0.0.0.1]area 2 [R2-ospf-1-area-0.0.0.2]network 24.1.1.1 0.0.0.0 #检查 ospf 表 [R2-ospf-1]display this
#连接测试,依次 ping R1 R3 R4 的 环回进行检验 [R2]ping -a 2.2.2.2 1.1.1.1六、扩展配置
六、扩展配置
1.从邻居关系建立成为邻接关系的条件
分类:
- DR(指定路由器):
一个网段上的 其他路由器 都和 指定路由器(DR) 构成 邻接关系,而 不是它们 互相之间 构成邻接关系。
- BDR(备份指定路由器):
当 DR 出现问题,由 BDR 接手 DR 的工作,同时会 再选举 出一个BDR。
- DR Other:其他路由器。
- ABR :域间路由器
网络类型:
- 点到点的网络:在一个网段中,仅支持 存在两个节点 的网络。(在点到点的网络类型中,可以 直接 成为 邻接关系)
- MA:多路访问 ---- 在一个网段内,存在的节点数量不限 。
在MA网络中,若所有设备 均是邻接关系,则会造成大量的 重复更新,故进行 DR/BDR 的选举,所有 非 DR/BDR 的设备 被称之为DRother,DRother 之间 维持 邻居关系。
2.修改接口优先级:
选举规则:
- 先比较参选接口的 优先级,默认为 1,范围 0~255,大为优。
- 若参选接口的优先级相同,比较参选设备的 RID,大为优。
- 当优先级设置为 0 时,默认 不参加选举,就不会成为 DR/BDR。
首先要进入 对应的接口。
ospf dr-priority [优先级]
注意:
- OSPF 的 DR选举 是 非抢占性 的,故需要 重启 ospf 进程 达到 重新选举的目的。
- 可以在配置 OSPF 进程 之前 进行 优先级的设置,这样可以省去后续 重启进程 的步骤。
重启 OSPF 进程:
reset ospf process
注意:首先要退至 用户视图 (尖括号)。
3.手工认证
首先进入对应邻居接口
ospf authentication-mode md5 [编号] cipher [密码]
在 邻居间接口 上 定义安全密钥 ,编号任意。
4.手工汇总 ---- 汇总区域
在 域间路由器 ABR 上将 A区域 共享到 B区域 时,方可进行 手工汇总。
首先进入到需要汇总的 ospf 区域
abr-summary [汇总网段] [展开式掩码]
在需要汇总的区域 进行 手工汇总 。
5.被动/沉默接口
仅接受 不发送路由信息 的接口,仅能配置在 路由器 与 PC 之间。
首先进入需要设置被动接口的路由器的 ospf 进程。
silent-interface g [接口号]
设置该接口为 沉默接口
6.加快收敛-改计时器
- 修改一台路由器的 hello time,该接口的 dead time 将 自动关闭匹配;
- 邻居间直连接口 的 hello/dead time 时间不一样,则无法建立邻居关系;
- 修改时,不易修改的过小。
7.缺省路由
在 边界路由器 上配置一条 缺省信息 之后,该设备将向 内部所有设备 发送缺省路由,方向 指向边界路由器。
首先要进入 边界路由器 的 ospf 进程。
default-route-advertise always
下发 缺省路由。
练习三:
### 先进行基础配置 ### #R1 配置 [R1]ospf 1 router-id 192.168.0.1 [R1-ospf-1]area 0 #宣告 网段 [R1-ospf-1-area-0.0.0.0]network 192.168.0.0 0.0.0.255 #宣告 IP地址 [R1-ospf-1-area-0.0.0.0]network 192.168.1.1 0.0.0.0 #R2 配置,R2 为 域间路由器 ABR,同时在 0区 和 1区 工作 [R2]ospf 1 router-id 192.168.3.1 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 192.168.1.2 0.0.0.0 [R2-ospf-1-area-0.0.0.0]network 192.168.2.1 0.0.0.0 [R2-ospf-1-area-0.0.0.0]network 192.168.3.1 0.0.0.0 [R2-ospf-1]area 1 [R2-ospf-1-area-0.0.0.1]network 192.168.4.1 0.0.0.0 #R3 配置 [R3]ospf 1 router-id 192.168.5.1 [R3-ospf-1]area 1 [R3-ospf-1-area-0.0.0.1]network 192.168.4.2 0.0.0.0 [R3-ospf-1-area-0.0.0.1]network 192.168.5.1 0.0.0.0
手工汇总:
#进行 手工汇总,汇总网段为 192.168.0.0 / 22 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0
沉默接口/缺省路由:
给 R1 连接一台 PC;给 R3 新增加一个 外网IP 3.3.3.3/24。
#配置 沉默/被动接口 [R1-ospf-1]silent-interface g 0/0/1 #下发 缺省路由 [R3]ospf 1 [R3-ospf-1]default-route-advertise always #查表检验 [R1]display ip routing-table protocol ospf
七、作业
要求:
- R1~R3 为 0 区,R3~R4 为 1 区,其中 R3 环回也在 0 区
- R1~R3中,R3 为 DR 设备,没有 BDR
- R4 环回地址已固定,其他所有网段基于 192.168.1.0/24 进行合理划分
- R4 环回不能宣告,全网可达,保障更新安全,避免环路,减少路由条目数量
子网划分:
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
1757
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
