HCIA—第三周笔记

一：OSPF

OSPF也是属于动态协议的一种，开放式最短路径优先，由于RIP无法满足人们的需求，从而诞生。

RIP的不足点：

1.RIP是基于跳数选路：那条线路跳数少就选那条线路，容易导致选路不佳。

2.占用资源：由于RIP存在周期更新（30S更新一次），每当设备启动RIP协议的时候就会启动更新计时器，当启动多个设备时，网络每一秒多会有设备发送更新报文。

3.仅仅支持小型网络：网络跳数最对15跳，当为16跳时网络不可达。所以导致传输的网络范围小。

1.1：OSPF基本概念

1.OSPF和RIP一样属于IGP（内部网关协议），OSPF属于链路状态型协议（LS型），传递拓扑信息。RIP传递路由信息。

2.开销值=参考带宽%实际带宽

优先值为10

版本：OSPFV1(实际版本),OSPFV2（IPV4）,OSPFV3(IPV6)

LSA（链路状态通告）OSFP传递的不是路由，而是LSA（LSA中存放的是拓扑信息）

3.OSPF没有周期更新机制，仅具备触法更新机制，周期链路状态刷新（30min），解决了RIP的周期更新机制占用资源问题。

4.OSPF具备跨层封装的特点，会跳过传输层进行数据传播，通过网络层进行数字标识，上层应用支持的协议。TCP—6，UDP—17，OSPF—89。

5.OSPF没有广播，只用组播形式进行通告，是用组播224.0.0.5和224.0.0.6进行数据通告。

1.2：OSPF结构部署

1.特点：区域内部传递拓扑信息，区域之间传递路由信息。

因为OSPF为拓补划分了区域，而区域内和区域间传输的信息也不同，因此LSA也分为路由LSA(描述本路由器上接口的路由信息）和拓补LSA（描述路由器之间的连接状态 ）

每台路由器根据自己周围的网络拓扑结构生成链路状态通告LSA，并通过更新报文将LSA发送给网络中的其它路由器。

2.区域ID是由32bit组成

1).骨干区域

2).非骨干区域

1.3:区域划分规则

1.必须存在骨干区域

2.所以的非骨干区域必须与骨干区域相连

3.每一个网段必须属于一个区域且只能属于一个区域，即每个运行ospf协议的接口必须指定属于某一个特定区域。区域用区域号来标识，区域号是一个从0开始的32位整数； 骨干区域不能被非骨干区域分割开； 非骨干区域必须和骨干区域相连，不建议使用虚连接。

4.OSPF区域划分是基于路由器接口划分

二：5种数据包，7种状态机，2种关系，3种接口角色，4种路由器角色，3张表

2.1：OSPF5种数据包

1.HELLO

用来发现、建立、周期保活OSPF邻居关系。

周期保活：默认每10S发送一次hello报文，来告诉邻居自己的存在。----hello time

若四倍的hello时间都未收到hello报文，那么会认为邻居不存在。---dead time

如果修改hello时间，四倍的关系不变。

Router-ID----路由器身份标识

路由器身份标识是由32位二进制组成，点分十进制标识且全ospf域唯一 。

例如：1.1.1.1，2.2.2.2，3.3.3.3，4.4.4.4

2.DBD（数据库描述报文 ）

该报文中包含了本地所有LSA信息的目录信息。

3.LSR（链路状态请求报文 ）

该报文用以请求未知的LSA信息。

4.LSU（链路状态更新报文 ）

该报文用以回复请求报文，该报文中携带了完整的LSA信息。

5.LSAck（链路状态确认报文 ）

2.2：OSPF7种状态机

down状态（关闭状态）：一旦启动了OSPF协议，且设备发送出hello报文，那么设备会进入到下一个状态。

init状态（初始化状态）：当收到的hello报文中含有本地的RID值，则进入下一个状态。

2-way状态（双向通讯状态）：2-way为邻居关系建立的标志且是稳定态，2-way具有条件匹配功能，匹配成功则进入下一状态，匹配失败则停留在2-way状态。

exstart状态（预启动状态）：使用未携带数据的DBD报文进行主从关系选举，其中RID值大的为主设备。主设备会先进入下一个状态（但是实际上先发送数据包的设备为从设备）。

exchange状态（准交换状态）：设备使用携带目 录信息的DBD报文进行目录共享。

loading状态（加载状态）：邻居间使用LSR/LSU/LSAck三种报文来获取完整的拓扑信息。

full状态（转发状态）：拓扑交换完成后进入该状态，标志着邻接关系的建立，且也是稳定态。

OSPF数据交互过程：

1. OSPF协议启动后，路由器A向本地所有启动了OSPF协议的直连接口，以组播224.0.0.5的方式发送 hello报文。该Hello报文中携带了本地的全域唯一的RID值； 之后对端路由器B也将回复hello报文，该报文中若携带了A的RID值，则A与B建立邻居关系并生成邻居表。

2. 邻居关系建立以后，邻居间进行条件匹配，匹配失败则停留在邻居关系，仅使用hello报文保活；若条件匹配成功，则可以开始建立邻接关系。

3. 邻接间共享DBD报文，将本地和邻接的DBD报文进行对比，查找本地没有的LSA信息，之后使用LSR来请求未知的LSA信息，对端使用LSU回复完整LSA信息，之后本地在使用LSAck报文进行数据确认该过程完成后，生成数据库表（LSDB）。

4. 在之后本地基于数据库表，启用SPF算法计算到达所有未知网段的最短路径，然后将其加载到本 地的OSPF路由表中，并在所有路由中选择最优路由，加载到本地全局路由表中。此时完成路由收 敛。

5. 最后邻接间使用hello报文进行周期保活，并且每30min进行一次周期链路状态刷新。

2.3:条件匹配

指定路由器（DR）：将数据进行收集再将其转发给其他路由器。

备份指定路由器（BDR）：备份指定路由器，当指定路由器无效时，则BDR代替DR完成工作。

其他路由器（DRother）：上传信息给指定路由器和备份路由器。

在网络中，只有DRother之间才是邻居关系，其他所有设备之间的关系均为邻接关系。

例如：DRothet和DRothet之间属于邻居关系，DRothet和BDR属于邻接关系，DRothet和DR属于邻接关系，DR和BDR属于邻接关系。

在网络中，DR和BDR最多只有一个，且在网络中必须存在DR设备，BDR可以不存在。

条件匹配选举规则：

看接口优先级：各个路由器优先级默认值为1，范围为0-255；优先级越大越优。

看RID及路由器身份标识，RIP数值越大越优。

DR与BDR的选举是非抢占模式。一旦设备选举成功，不因为新加入设备而重新选举，所有设备重 启OSPF进程后才可以重新选举DR和BDR。----------reset ospf 1 process重启OSPF命令

2.4：结构突变

新增网段----触发更新----使用LSU告知对端

断开网段----触发更新----使用LSU告知对端

无法沟通----通过死亡时间来判断，从而删除路由信息。

2.5：ospf配置过程

三：OSPF扩展配置

3.1：OSPF两种下发缺省路由命令

非强制性下发

使用条件：设备必须存在某一种缺省路由，否则无法下发成功。及存在缺省路由才有效，需要自己添加缺省路由。

[r1-ospf-1]default-route-advertise

强制性下发

[r1-ospf-1]default-route-advertise always

强制性下发本地可以不存在缺省路由。

3.2：静默接口

配置为静默接口的接口对于OSPF数据包不收也不发。

[r1-ospf-1]silent-interface GigabitEthernet 0/0/1（接口号）

3.3：手工认证

双方均需要配置，若选择密文认证，则双方的Key ID需要配置相同。

区域认证 [r1-ospf-1-area-0.0.0.0]authentication-mode md5 1 cipher 123456

接口认证 [r2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

3.4：加速收敛

修改时间，全网均要修改。

[r3-GigabitEthernet0/0/0]ospf timer hello 5 ---修改hello时间，死亡时间随之更改

[r3-GigabitEthernet0/0/0]ospf timer dead 100 ----修改死亡时间，hello时间不变

3.5：修改参考带宽（建议全网均修改）

开销值=参考带宽%实际带宽

[r2-ospf-1]bandwidth-reference 10000

3.6：修改接口优先级

[r1-GigabitEthernet0/0/0]ospf dr-priority 10

display ospf peer#重启接口两端路由器

四：NAT技术

4.1：私网IP地址

10.0.0.0/8

172.16.0.0/16—172.31.0.0/16

192.168.0.0/24—192.168.255.0/24

运营商默认拥有所有公网路由信息，且不存在任何私网路由信息。

一般来说公网的路由不可以访问私网路由，但是私网路由可以访问到公网路由。：LAN（局域网）和WAN（广域网）

4.2：NAT技术概念

NAT技术实际上就是在内网边界对访问外网的数据包进行了修改，将其私网地址转变为公网地址。 NAT一般应用在内网的出口路由器或者防火墙上。

NAT分为静态NAT和动态NAT

1.静态NAT：在私网边界路由器上建立并维护了一张静态地址映射表，该表中记录了公网IP地址和私网IP 地址之间的对应关系。

[r2-GigabitEthernet0/0/2]nat static global 23.0.0.10 inside 192.168.1.1

设置一个静态NAT表项将出接口ip地址23.0.0.10设置为192.168.1.1

注意：公网IP地址设置IP地址时不要使用出接口IP；设备无法分别回程流量到底是交给自己还是内部设备

设置的IP地址必须为漂浮IP，漂浮ip与出接口地址处于相同网段，且是从运营商买来的合法IP地址

工作过程：当内网数据包来到边界路由器上，会先检查其目的IP地址，然后匹配路由项， 若发现该路由的出接口为连接公网的接口，则进行地址转换。

2.动态NAT：动态NAT与静态NAT最大的区别在于地址映射表的内容是可变的，也就是说，私网地址与公网地址的对应关系从1对1变为多对1。

但是，在动态NAT当中，同一时刻，只能有一个私网IP通过 NAT转换；当上一个流量回来后，才会轮到下一台设备进行转换（多对多转换）。

1、配置公网IP组:当私网想要上网的时候随机抽出一组IP组供公网使用。

[r2]nat address-group 1 23.0.0.10 23.0.0.10 ----将23.0.0.10-23.0.0.20放入地址 组；其中的IP地址也必须为漂浮IP,公网IP地址必须连续。

2、配置ACL抓取流量 [r2]acl 2000 ----仅使用基本ACL即可

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255动作必须为允许

3、接口调用 [r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat

address-group 1：公网创建的地址组

对于访问外网时可以使用ACL技术进行抓取内网流量，将源地址为192.168.1.0/24网段的流量抓取向外网发送。再发送之前使用NAT技术进行构造。

注意！！！抓取流量时是对于源ip使用基本ACL。

五：VLAN技术—虚拟局域网技术

5.1VLAN概念:

使用交换机实现虚拟路由器的功能。通过将交换机不同的接口划分为不同的广播域，使用不同的编号区分不同的广播域。默认端口号为VLAN1

当交换网络巨大时会产生垃圾流量问题和安全问题

垃圾流量问题：

交换机在接收到未知单播或广播帧时，会进行洪范或者广播操作，占用其他设备宽带资源

安全问题：

计算机接收到本不应该受到的数据帧，从而读取内容，交换网络PC量在200之内。

5.2：VLAN的类型

基于端口的VLAN----一层VLAN----最常用的方式

基于MAC地址的VLAN-----二层VLAN

基于协议的VLAN----三层VLAN

Access类型-----一般用于交换机与终端设备直接相连

Trunk类型-----一般用于交换机与交换机相连的接口

Hybrid类型----华为有特有的类型