hcip笔记2

网络类型及数据链路层协议

网络类型是根据我们数据链路层所运行的协议及规则来划分

网络类型的分类

P2P---- 点到点 ---point to point

MA--- 多点接入网络

BMA--- 广播型多点接入网络

NBMA---- 非广播型多点接入网络

数据链路层协议

MA 网络

以太网协议

特点：需要使用 MAC 地址对我们的设备进行区分和标识

原因：（为什么以太网需要使用 MAC 地址进行物理寻址）

利用以太网协议建立起来的二层网络中可以包含多个接口，每个以太网接口之间都可以进行交互以

太网数据帧，从而进行通讯，若不存在 MAC 地址，则无法找到对应的接收数据帧的设备。

所属类型 ------BMA

以太网网络的构建方式 ----- 使用 以太网线缆 ，连接设备的 以太网接口 ，形成的网络称为以太网络，所运行

的协议就是以太网协议。

以太网的特色 ---- 可以提供极大的传输速率 ---- 频分技术

P2P 网络

定义：当一个网络中 只能存在 两台设备，并且不允许第三台设备加入，这样的网络称之为 P2P 网络。

P2P 网络的搭建 ---- 使用 串口线缆 连接设备的 串线接口 ，形成的网络

串口线 ---- 一种比较古老的线缆，早期主要使用的线缆之一

串口的标准：

E1----2.048M/bps

T1----1.544M/bps

HDLC

High-Level Data Link Control---- 高级数据链路控制协议

标准：

满足工业标准的 HDLC 协议 -----ISO 组织（ IBM 公司 ---SDLC---- 是一种面向比特的同步数据链路控制协

议 ----- 以帧为单位来传输数据）

不满足工业标注的 HDLC 协议 --- 各家厂商根据 ISO 标准的 HDLC 上进行修改得出

注意：标准的 HDLC 和非标的 HDLC 彼此之间 不兼容 。（思科、锐捷）

HDLC 网络搭建

[r1-Serial4/0/0]link-protocol hdlc //修改网络类型为HDLC

 

Address ：写的 unicast ，代表没有填写内容，因为点到点网络实际上不需要 IP 地址就可以通讯，而

配置 IP 地址的原因，仅仅是为了服务上层协议。

Control ：原本为了做一些策略，但该字段在现今串线网络当中没有备用到，使用 0 填充

protocol ：表示上层封装协议的类型，跟以太网协议中的类型字段相似

HDLC 的接口地址借用

串行接口可以借用 loopback 接口的 IP 地址和对端建立连接。

[r1-Serial4/0/0]ip address unnumbered interface LoopBack 0 -- 借用环回 0 的 IP 地址

[r1]ip route-static 12.0.0.0 24 Serial 4/0/0 ---- 不写下一跳的原因在于， 1 、如果用下一跳方式书写，则

需要递归路由； 2 、因为接口没有 IP 地址，故无法生成下一跳的直连路由。

在最后需要在双方设备补充上对端设备的静态路由信息，保障数据可以进行查表转发 。

将环回接口 IP 地址配置为对端接口 IP 地址的同网段地址，且掩码为 32 。

PPP---- 点到点协议

PPP 协议优点

相较于 HDLC ， PPP 协议具备良好的 兼容性 。统一标准协议（任何串行接口或串行线缆，只要能够

支持全双工通讯，就可以支持 PPP 协议）

具有良好的 可移植性 。 ----PPPoE

可以完成 认证和授权 。

没有重传机制，开销小，速度快

PPP 会话的搭建

PPP 协议建立会话需要经过三个阶段

链路建立阶段 ----LCP 协议

认证阶段 ----------PPP 认证（可选项）

网络层协议协商阶段 ----NCP 协商

PPP 链路建立阶段

Dead 阶段 ---- 被称为物理层不可用阶段

当通讯双方的两端检测到物理链路激活，就会从 dead 阶段跃迁到 Establish 阶段

Establish 阶段 ---- 会进行 LCP 参数协商

在该阶段，当 LCP 参数协商成功后，会进入 opened 状态，表示 底层链路 已经建立。

Authenticate 阶段 ---- 大多数情况下，链路两端的设备是需要经过认证阶段后才能进入到网络层协议

协商阶段。

PPP 链路在缺省情况下，不要求进行认证

如果要求进行认证，则在链路建立阶段必须指定认证协议 。

认证方式是在双方链路建立阶段进行协商的。

在 Network 阶段 ----PPP 链路进行 NCP 协商

通过 NCP 协商来选择和配置一个网络层协议并进行该网络层协议的参数协商。

只有当响应的网络层协议协商成功后，该网络层协议才可能通过这条 PPP 链路进行发送。

NCP 协议成功后， PPP 链路将保持通讯状态

若 PPP 运行过程中，物理链路断开、认证失败、定时器超时、手工关闭连接等操作都会导致链

路进入 Terminate 阶段

Terminate 阶段 ---- 链接关闭的阶段

若此时所有的链路资源均已被释放，则通讯双方都将回到初始态 Dead 状态，直到双方重新建

立 PPP 连接。

PPP数据帧结构

LCP 协议 ----- 链路控制协议 ---- 主要用于完成 PPP 会话建立的第一阶段协商过程

NCP 协议 ----- 网络控制协议 ------ 是一系列协议的总称，完成 PPP 会话建立第三阶段时针对网络层协议进行

协商。网络层所使用的协议不同，则对应的 NCP 协议不同。

LCP 协议

LCP 报文类型

LCP 具有三大报文类型

链路配置报文----重点

链路终止报文

Terminate-Request ：终止请求

Terminate-ACK ：终止确认

链路维护报文

echo-request------ 回波请求

echo-reply---------- 回波应答

LCP建立

1 、 MRU 值：在 PPP 数据帧中所允许携带的最大数据单元，单位字节，默认 1500

2 、认证方式：根据第二阶段认证来判断，若存在认证，则需要协商认证方式；若不存在认证，则不需要

协商。

3、魔术字：用来检测链路中是否存在环路，是由本地设备随机生成的字符串（设备序列号、硬件地址）

协商过程

 

认证阶段

PPP 的认证，一般是通过 AAA 管理框架 来完成的

认证是双向的，但是也可以做单向，但是一般不建议。

两种认证方式： PAP 、 CHAP

PAP

密码认证协议----是一种明文的认证方式

配置方法 认证方

创建用户信息

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei password cipher

123456

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei service-type ppp

配置认证方式

[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode pap

被认证方

[r2-Serial4/0/0]ppp pap local-user huawei password cipher 123456

PPP 会话的建立是一次性会话方式，当第一次链路建立完成后，后续修改认证方式不会影响链路的通

讯 。

CHAP 认证

挑战握手协议 ----- 该认证不再是传递明文信息，而是采用 对比摘要值 的方式进行认证。

认证过程

认证方先发送一个挑战报文，里面包含的是认证方的用户名和一个 随机值 。

被认证方接收到后，需要根据该用户名的信息在本地进行查找，找到其对应的密码，然

后将密码和随机值一起进行 HASH 运算，得出摘要值。

然后被认证方将自己的用户名和该摘要值发送给认证方

认证方通过接受到的用户名找到对应密码，再将密码与自己本地产生的随机值，进行

HASH 运算，若所得到的摘要值与认证方发送的摘要值相同，则代表通过认证。

认证配置

认证方

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip password cipher 666666

[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip service-type ppp

[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode chap

被认证方

[r2-Serial4/0/0]ppp chap user ccip

[r2-Serial4/0/0]ppp chap password cipher 666666

一条 PPP 链路的两端可以使用不同的认证协议认证对端，但是被认证方必须支持认证方要求使用的认

证协议并正确配置用户名和密码等信息 。

网络层协议协商阶段 ---NCP 协商

通过 NCP 协议来对网络层参数进行协商。 ----IPCP 协议

协商内容

IP 报文的压缩方式

IP 地址 --- 检测该 IP 地址是否为可用 IP 地址，且不于自己的 IP 地址冲突

协商过程

静态地址协商

一旦认可了对方的 IP 地址，则将会自动学习到达该 IP 地址的主机路由 。 ---- 在 PPP 网络中，通

讯双方的 IP 地址可以不同。

动态地址协商

 

 

配置命令

配置方

[r2-Serial4/0/0]remote address 1.1.1.1

获取方

[r1-Serial4/0/0]ip address ppp-negotiate

AAA

定义 --- 认证、授权和计费的简称， 是网络安全的一种管理机制 ，提供了认证、授权和计费三种安全功

能。 安全功能

认证 --- 用于验证用户是否可以获取网络访问权限

授权 --- 授予用户可以使用的服务类型

计费 --- 记录用户使用网络资源的情况

AAA 域

每一个用户都属于一个域，一个域是由属于同一个域的用户构成的集合群体。

域下信息

一个域统一管理 AAA 方案、服务器模板和授权。

AAA 方案 ---- 分为认证方案、授权方案和计费方案，用来定义认证、授权和计费的方式方法

服务器模板---用来配置认证、授权或计费使用的服务器。

 

 

授权信息分为两类

本地授权（域下授权信息）：用户从域下获取的授权信息

服务器授权：用户从域下和服务器同时获取的授权信息

若域下授权信息与服务器授权信息冲突，则遵照服务器授权信息执行

若不冲突，则两者同时执行

用户所属域

用户属于哪一个域 ---- 根据 NAS 设备来判断。

NAS 设备存储了一个区域内部所有的用户信息，以及其对应的域信息。

当用户名中携带了域名信息，则 NAS 设备会根据域名将其归属到对应域下，并回复该域下所配置的 AAA

方案、服务器模板、域下授权信息。如果用户名没有携带域名信息，则会将其归属到默认域中。

默认域中自带默认的认证方案、授权方案和计费方案。

 

AAA方案

认证方案 

认证方案用来定义用户认证时所使用的的认证方法以及每种认证方法的生效顺序。

认证方案必须应用到域。

设备支持的认证方式

本地认证 ---- 设备作为认证服务器，然后将用户信息配置在本设备上。

速度快，降低运营成本。

缺点：存储的用户信息量受硬件影响

不认证

授权方案

授权方案用来定义用户授权时使用的授权方法以及每种授权方法的生效顺序

并且，也需要应用到域

设备支持的授权方法

本地授权

不授权

授权方案用来定义用户授权时使用的授权方法以及每种授权方法的生效顺序

并且，也需要应用到域

计费方案用来定义用户计费时使用的计费方法

并且，也需要应用到域

 

设备支持的计费方法

RADIUS 计费

HWtacacs 计费

计费只能有一种方案，故没有所谓的生效顺序。

配置信息

创建用户：

[server-aaa]local-user ccip@huawei password cipher 123456---- 用户名后必须跟域名

[server-aaa]local-user ccip@huawei service-type telnet

AAA 方案：

[server-aaa]authorization-scheme huawei --- 创建一个授权方案

[server-aaa-author-huawei]authorization-mode local ---- 设置该方案的授权方法

[server-aaa]authentication-scheme huawei --- 创建一个认证方案

[server-aaa-authen-huawei]authentication-mode local --- 设置该方案的认证方法

[server-aaa]domain huawei --- 创建 huawei 域

[server-aaa-domain-huawei]authorization-scheme huawei

[server-aaa-domain-huawei]authentication-scheme huawei

GRE和MGRE  

VPN--- 虚拟私有网络

指的是依靠 ISP 或其他网络管理机构在公有网络基础上构建的专用的安全数据通信网络，只不过该网络

是逻辑上的而非物理的。

虚拟：用户不在需要拥有实际的长途数据线路，而是使用公共网络资源建立的属于自己的私有网

络。

专用：用户根据自身需求，特别定制的最符合自身网络架构的网络

核心技术 ---- 封装技术

GRE--- 逻辑隧道的封装技术

GRE--- 通用路由封装 ---- 标准的三层隧道技术 --- 属于点到点隧道

GRE 环境

希望的流量走向

实际的流量走向  

经过GRE粘合后的数据  

 

[r1]interface Tunnel 0/0/0 // 创建隧道接口

[r1-Tunnel0/0/0]ip address 192.168.3.1 24

[r1-Tunnel0/0/0]tunnel-protocol gre // 定义封装方式

[r1-Tunnel0/0/0]source 12.0.0.1 // 定义封装内容，注意是物理接口 IP 地址

[r1-Tunnel0/0/0]destination 23.0.0.3

双方均需要进行 GRE 配置

GRE的报文结构

 

 

GRE 封装和解封装报文的过程

设备从连接私网的接口接收到报文后，检查报文头部中出现的 IP 地址字段，并在路由表中查找出接

口，如果发现出接口是隧道接口，则将报文发送给 tunnel 模块进行处理。

tunnel 模块接收到报文后，会首先根据乘客协议的类型和当前 GRE 隧道的配置来添加参数，并对报

文进行 GRE 封装

然后，设备给报文添加传输协议报文头部，即 IP 报文头部。该 IP 头部信息的源 IP 地址是隧道源地址

（不是隧道自身的 IP 地址），目的地址就是隧道的目的地址。

最后，设备根据新添加的 IP 报文头部中的目的 IP 地址，在路由表中查找对应的出接口，并发送报

文。

接收端设备从连接公网的接口收到报文后，首先分析 IP 报文头部，如果发现 协议类型字段的值为 47

（ GRE 的协议号） ，表示上层协议为 GRE 谢意，于是出接口将报文交给 GRE 模块处理。

GRE 模块去掉 IP 报文头部和 GRE 头部，并根据 GRE 报文头部中的协议类型字段，发现此报文的乘客

协议为私网中运行的 IP 协议，将该数据交给对应协议处理。

 

 

Keepalive 检测 --- 用于检测隧道对端是否可达

[r1-Tunnel0/0/0]keepalive period 2 retry-times 5

设置发送周期为 2s ；重传次数为 5次。

如果本端隧道配置了 keepalive 检测功能， GRE 隧道会创建一个计时器，并周期性的发送探测报文，

同时进行不可达计数。

每发送一个探测报文，不可达计数 +1

如果该计数器到达预先设定的值之前收到回应报文，则表明对端可达。

如果计时器值达到预先设定的重传此处，还未收到对端的回应报文，则认为对端不可达。关闭

隧道连接。

keepalive 是不需要双方均进行配置的，仅配置一端即可进行检查。

MGRE----多点通用路由封装技术

NHRP----下一跳解析协议

中心 / 节点： Hub-Spoke 架构

NHS （下一跳服务器）

在私网当中选择一个出口物理 IP 地址不会变的设备充当 NHS 服务器。

剩下的节点都可以知道中心的隧道 IP 和物理 IP ，然后通过 NHRP 要求所有的分支节点都需要将自己的物理接口

IP 和隧道 IP 发送给该服务器（有变化就发送）。

NHS 服务器将会存有所有分支节点的地址映射关系的一个动态记录。

发送消息时查询该映射记录表即可

MGRE 的非 shortcut 配置

 

reset saved-configuration //清除本地配置文件

Hub 配置

[r1]interface Tunnel 0/0/0

[r1-Tunnel0/0/0]ip add 192.168.5.1 24

[r1-Tunnel0/0/0]tunnel-protocol gre p2mp // 修改接口封装模式为点到多点 GRE

[r1-Tunnel0/0/0]source 15.0.0.1 // 定义封装的源 IP ，该 IP 地址为物理 IP 地址

Spoke 配置

[r4]interface Tunnel 0/0/0

[r4-Tunnel0/0/0]ip add 192.168.5.4 24

[r4-Tunnel0/0/0]tunnel-protocol gre p2mp

[r4-Tunnel0/0/0]source GigabitEthernet 0/0/0 // 设置分支站点 IP 地址不固定，故源 IP 根据出接

口变化

[r4-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register // 分支需要到中心站点注册

隧道地址 物理地址 注册

[r1]display nhrp peer all // 查看 nhrp的注册情况

DSVPN---- 华为

DSVPN 专门为了 Hub-Spoke 架构诞生服务。

通过总部中转流量会导致下述问题

1 、总部在中转分支之间的数据流量时，会消耗总部 hub 设备的 cpu 和内存资源，造成资源紧张

2 、总部需要对分支之间的数据流量进行封装和解封装，造成额外的网络延时

3 、 IPSec 协议不支持广播报文和组播报文。

DSVPN 通过 NHRP 协议动态收集、维护和发布各节点的公网地址等信息，解决了源分支无法获取目的分支

的公网 IP 地址的问题，从而可以在分支和分支之间直接建立一条动态的 VPN 隧道，实现分支和分支之间的直接

通讯，减轻总部的设备负担。

DSVPN 借助 MGRE 技术，使 VPN 隧道能够传输组播报文和广播报文，并且一个 tunnel 接口可以跟多个对端

建立 VPN 隧道，减少网络管理员的配置量。并且，在新增分支或者分支地址变化的情况下，能够自动维护总部

和分支之间的隧道关系，而不需要调整任何配置。

DSVPN 概念

当源 spoke 需要向目的 spoke 发送数据报文时，

源 spoke 通过与 hub 节点的静态 mgre 隧道交互 NHRP 协议报文获取目的 spoke 节点的公网地址，并且与目

的 Spoke 节点建立动态 mgre 隧道。

mgre 隧道

静态 mgre---- 建立在 hub 到 spoke ，并且永久存在

动态 mgre--- 建立在 spoke 到 spoke，在一定周期内没有流量转发时将自动拆除

NHRP 映射表

静态表项

动态表项

老化时间 ---7200s

NHRP 映射表建立过程

1. 建立 spoke 和 hub 之间的 MGRE 隧道

2. 分支学习路由

1. shortcut 方式 ---- 快捷方式

分支路由全部汇聚到总部

spoke 节点只需要存放到达 hub 节点的路由即可

一般应用在网络规模较大、分支节点较多的场景。

2. 非 shortcut 方式 ---- 非快捷方式

分支间相互学习路由

每一个分支节点都需要学习到所有对端的控制层面的数据。

DSVPN 通过 NHRP 协议动态收集、维护和发布各节点的公网地址等信息，解决了源分支无法获取目的分支

的公网 IP 地址的问题，从而可以在分支和分支之间直接建立一条动态的 VPN 隧道，实现分支和分支之间的直接

通讯，减轻总部的设备负担。

DSVPN 借助 MGRE 技术，使 VPN 隧道能够传输组播报文和广播报文，并且一个 tunnel 接口可以跟多个对端

建立 VPN 隧道，减少网络管理员的配置量。并且，在新增分支或者分支地址变化的情况下，能够自动维护总部

和分支之间的隧道关系，而不需要调整任何配置。

当源 spoke 需要向目的 spoke 发送数据报文时，

源 spoke 通过与 hub 节点的静态 mgre 隧道交互 NHRP 协议报文获取目的 spoke 节点的公网地址，并且与目

的 Spoke 节点建立动态 mgre 隧道。 一般应用在网络规模较小，路由信息量少的网络中。

3. 建立 spoke 和 spoke 之间的 MGRE 隧道

shortcut 方式

非 shortcut方式

[r1-Tunnel0/0/0]nhrp redirect // 在 hub 设备上配置 ---- 使能 nhrp 重定向报文

[r4-Tunnel0/0/0]nhrp shortcut // 在 spoke 设备上配置 --- 开启 spoke 设备的 nhrp重定向请求报文 动态路由协议下的 MGRE 环境---RIP

[r1-Tunnel0/0/0]nhrp entry multicast dynamic // 在 hub 配置，开启伪广播功能（给所有人都单

播发送一次报文）

[r1-Tunnel0/0/0]undo rip split-horizon // 关闭 rip 水平分割 --- 非 shortcut

[r1-Tunnel0/0/0]rip summary-address 192.168.0.0 255.255.248.0 //shortcut

第四章， OSPF---- 开放式最短路径优先协议

OSPF基础

IETE--- 国际互联网工程任务组 ----RFC2328

OSPFv2 和 RIPv2 对比

相同点

1 、两者都是无类别路由协议 --- 传播时携带真实掩码

2 、两者的更新方式相同 ---- 组播

RIPv2----224.0.0.9

OSPFv2----224.0.0.5\224.0.0.6

3 、两者均支持等开销负载均衡

不同点

RIPv2 只能应用在小型网络中， OSPFv2 可以应用在中大型网络环境的

OSPF 区域划分 ---- 结构化部署

OSPF 域（ Domain ） --- 将一系列的 OSPF 路由器组成的网络称为 OSPF 域。

 

 

 

区域 ID ： 32bit

OSPF 多区域划分要求 ：

1 、 OSPF 要求域中所有的非骨干区域（区域 ID 不为 0 的区域）都必须与 Area0 相连。

2 、骨干区域不能被分割

OSPF 区域结构部署规则的必要性

假定没有 “ 所有非骨干区域都必须与骨干区域相连 ” 这条规则 ----“远离骨干的非骨干”

定义了ABR（区域边界路由器）设备----确保所有人遵循上述规则

1 、至少连接两个区域

2 、连接的区域中至少有一个是区域 0

3 、在区域 0 中至少有一个活跃的邻居

作用：用于传递区域间路由

为了避免区域间的路由形成环路， 非骨干区域之间不允许直接相互发布区域间路由 。

假定没有 “ 骨干区域不能被分割 ” 这条规则----不连续骨干区域

 

 OSPF规定：从非骨干区域收到的路由信息，ABR能接收，但不会使用这条路由信息（OSPF水平分割

原则） 。

总结一下

OSPF 有如下规则：

1 、对于伪 ABR 设备不允许转发区域间路由信息。

2 、对于真实 ABR 而言

能够将自己直连的非骨干区域的区域内路由信息传递给骨干区域。

能够将自己直连的骨干区域的区域内路由信息传递给非骨干区域。

能够将自己从骨干区域学习到的区域间路由信息传递给费骨干区域。

OSPF 路由器角色

内部路由器（ IR ）

所有接口都接入同一个区域的路由器

区域边界路由器（ ABR ）

骨干路由器（ BR ）

接入 Area0 的路由器，包括 ABR ，但不包括 ASBR

ASBR （ AS 边界路由器）

工作在 OSPF 自治系统边界的路由器

OSPF 有如下规则：

1 、对于伪 ABR 设备不允许转发区域间路由信息。

2 、对于真实 ABR 而言

能够将自己直连的非骨干区域的区域内路由信息传递给骨干区域。

能够将自己直连的骨干区域的区域内路由信息传递给非骨干区域。

能够将自己从骨干区域学习到的区域间路由信息传递给费骨干区域。 并不是同时运行多种路由协议的 OSPF 路由器就一定是 ASBR ， ASBR 一定是将外部路由引入到

OSPF 域的设备。

OSPF数据包

：

Hello

用来周期发现、建立、保活 OSPF 邻居关系 ，通过组播 224.0.0.5 发送。

10S 发送一次来确认邻居的存在

hold-time---- 四倍的 hello 时间

Router-ID （ RID）

全域唯一，标识路由器身份

用 IP 地址形式表示（ 32bit ，点分十进制）

配置方法

手工配置

自动配置

默认最大环回 IP 地址，若没有最大环回则选择最大物理 IP 地址（路由器的 RID 选

择）。

[r1]display router id // 查看路由器全局 ID值

注意：

启动 OSPF 进程前，必须要有接口 IP 地址，若存在 IP 地址，则在第一次启动 OSPF 进程

时，会选取第一个配置的 IP 地址为 RID 。

但是，若删除第一个配置的 IP 地址后，则恢复为上述规则。

在华为设备中，若没有接口 IP 地址，则 OSPF 启动后， RID 为 0.0.0.0

在思科设备中，若没有接口 IP 地址，则 OSPF启动失败

无论采用手工配置还是自动选择，一旦 OSPF 进程启动， RID 被确定，则无法变化，必须重启

进程才能生效。 reset ospf process 重启所有 OSPF 进程

 

DBD

数据库描述报文

该报文携带的是 路径信息的摘要 （为了减少更新量，并不会直接给邻居发送 TOPO 信息，而是将

TOPO信息的目录发送给邻居）

LSR

链路状态请求报文

基于未知的 LSA （链路状态通告）信息进行查询。

LSU

链路状态更新报文

携带真正的 LSA 信息的数据包

LSAck

链路状态确认报文

OSPF 七种状态机

down--- 关闭状态 ---- 一旦启动了 OSPF 协议，则发出 hello 包，并进入下一状态

init---- 初始化状态 ---- 收到的 hello 包中，存在自己的 RID 值，则进入下一状态

2-way---- 双向通讯状态 ----- 邻居关系建立的标志 。

条件匹配：匹配成功则进入下一阶段，不成功则停留在 2-way

exstart---- 预启动状态 ---- 使用未携带信息的 DBD 包进行主从关系选举， RID 大的为主

exchange----- 准交换状态 ---- 使用携带目录信息的 DBD 报文进行目录共享

loading------ 加载状态 ----- 邻居间使用 LSR/LSU/LSAck 三种报文来获取完整的 TOPO 信息

full---- 转发状态 ---- 修成正果 ------ 标志邻接关系的建立 。

 

 

 

条件匹配

设备接口名称

DR--- 指定路由器

BDR--- 备份指定路由器

DRother---- 其他路由器

OSPF 称为邻接关系的条件

点到点 ---- 不用选举 DR 和 BDR---- 直接开始建立邻接关系（加快收敛的方法）

MA 网络 ---- 在一个网络中，不限制节点数（会选举 DR 和 BDR ）

选举规则

接口优先级 ----->0-255----> 优先级越大，为 DR ，次一级为 BDR （华为默认为 1 ）

RID---- 越大越优先

选举范围 ---- 一个广播进行一次条件匹配 角色之间的关系

DR 和 DRother----> 邻接关系

DR 和 BDR----> 邻接关系

BDR 和 DRother----> 邻接关系

DRother 和 DRother----> 邻居关系

非抢占性选举模式

选举过程

1. DR 、 BDR 的选举是通过 Hello 报文来实现的，选举过程发生在 2-way 状态之后

2. 路由器将自己的接口的 DR 优先级填写 hello 报文中的 “DR 优先级 ” 字段

3. 在接口视图下可以修改 DR 优先级（若 DR 优先级修改为 0 ，则代表不具备 DR 和 BDR 的选举资格）

4. 当路由器接口激活 OSPF 后，首先检查网络上是否已经存在 DR 设备，如果存在则接收 DR 角色。若不

存在，则拥有最高 DR 优先级的设备称为 DR （ RID ）

5. BDR 的选举过程和 DR 选举过程相同，但是是在 DR 选举成功之后。

DR 设备使用组播 224.0.0.5 想该 MA 网络发送消息。

而 DR 和 BDR 使用 224.0.0.6 监听该 MA 网络的消息。

DROther 使用 224.0.06 发送自己的 LSU 报文。

 

OSPF工作状态 

 

启动 OSFP 配置完成后， OSPF 将向本地所有运行 OSPF 协议的接口组播 224.0.0.5 发送 hello 报文；

hello 报文中携带有本地的 RID 以及本地已知的邻居 RID ；之后生成 邻居表 。

邻居关系建立后，进行条件匹配；匹配失败则停留在邻居关系；仅 hello 报文保活

匹配成功的邻居将 开始建立邻接关系 。

首先使用未携带数据的 DBD 报文来进行主从关系选举；之后使用携带数据的 DBD 报文来共享数据库

目录；之后本地使用 LSR/LSU/LSACK 报文来获取未知的 LSA 信息；

完成本地数据库的建立 --- 生成 数据库表 。

之后本地基于数据库生成有向图和最短路径树，之后计算本地到达拓扑中所有未知网段的最短路

径，并将其添加到 路由表 中。

收敛完成， hello 报文周期保活。每 30min 进行一次周期更新。

结构突变

1. 新增网段 ---- 直接在邻接关系的接口使用 LSU 进行更新，将内容告诉于邻居。并需要邻居的 ACK 确

认。

2. 断开网段 ---- 直接在邻接关系的接口使用 LSU 进行更新，将内容告诉于邻居。并需要邻居的 ACK 确

认。

3. 无法沟通 ----dead time---- 四倍的 hello 时间。

OSPF基础配置

1. 启动 OSPF 进程 [r1]ospf 1 router-id 1.1.1.1 // 进程号仅具备本地意义，手工配置 RID 方法

2. 创建区域

[r1-ospf-1]area 0

3. 宣告

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 // 精准宣告

[r1-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255 // 宣告网段

宣告使用反掩码形式

32 位二进制，使用点分十进制表示。连续的 0+ 连续的 1 ；并且 0 代表不可变； 1 代表可

变。

 

 

 

 

华为体系中，优先级为 10 ；

OSPF 的 COST==== 参考带宽（ 100Mbps ） / 实际带宽

[r1-ospf-1]bandwidth-reference 1000 // 修改参考带宽 ----- 所有设备均需修改

一条 OSPF 路径的 Cost 等于从目的地到本地路由器沿途的所有设备的 入接口 Cost 值的总和。

 

 

 

OSPF 报文格式

OSPF报文头部

版本（ Version ）

对于 OSPFv2 而言，该字段值恒为 2

类型（ Type ）

描述 OSPF 数据包的类型

Hello------1

DBD-------2

LSR--------3

LSU--------4

LSACK----5

报文长度（ Packet Length ）

整个 OSPF 报文的长度 ----- 单位字节

路由器 ID

发出该报文的路由器的 RID 值

区域 ID

发出该报文的接口所属于的区域的 ID 值

校验和

验证 OSPF 整体数据报文的有效性

验证类型

指示该报文使用的认证类型

不认证 ---0 ；简单认证 ----1 ； MD5 认证 ----2 ；

认证数据

用于报文认证所对比的内容

若认证类型为不认证，则该字段全部用 0填充。

OSPF 的认证功能在存在于所有的数据交互过程中，对于任何一种数据报文，都需要进行认证。

在认证的过程中，需要对比两个字段，首先对比认证类型字段。

若相同，才会对比认证数据字段。

Hello 包

 

网络掩码（ Network Mask ）

该字段填充的是发送该报文的网络掩码

两台 OSPF 路由器如果通过 以太网接口 直连，那么双方的直连接口必须配置相同的网络掩码。

（点到点网络不需要对比该参数）

注意： OSPF 建立邻居关系需要对比子网掩码信息是华为独有，别的厂商没有这个要求 。

Hello 间隔

两台直连路由器需要确保直连接口的 Hello 时间间隔相同，否则邻居关系无法建立 。

缺省情况下， P2P 和 BMA 类型的下，为 10S ； P2MP 和 NBMA 为 30S 。

可选项（ Options ）

该字段一共 8bit ，每个比特位都用于指示该路由器的某个特定的 OSPF 特性。

而 OSPF 邻居关系建立过程中，该字段中的某些比特位将会被检查，可能影响 OSPF 邻居关系建

立。（特殊区域的标记）

路由器优先级

 

[r2-GigabitEthernet0/0/0]ospf dr-priority ? // 修改 OSPF 接口的 DR 优先级

INTEGER<0-255> Router priority value

路由器失效时间

两台直连路由器要建立 OSPF 邻居关系，需要保证双方接口的 dead time 时间相同，否则邻居

关系无法正常建立。

缺省时间为 hello 的 4 倍。

指定路由器

网络中 DR 设备的接口 IP 地址。

若没有 DR 或 DR 没有选举出来，则填充 0.0.0.0

备份指定路由器

[r2-GigabitEthernet0/0/0]ospf dr-priority ? // 修改 OSPF 接口的 DR 优先级

INTEGER<0-255> Router priority value 网络 BDR 设备的接口 IP 地址

若没有 BDR 或未选举结束，则填充 0.0.0.0

邻居

在直连链路上发现的有效邻居，此处填充的是邻居的 RID 值，如果发现多个邻居，则包含多个

邻居字段。

所有 224.0.0.X 格式的组播地址称为本地链路组播，目的 IP 地址是本地链路组播的数据包中的 TTL 值被

设定为 1 。所有的本地链路组播都会存在对应的组播 MAC 地址， 01-00-5e- 后 24 位（组播 IP 地址的后 24

位） 限制邻居关系建立的参数

 子网掩码

 

 

在 R2 上修改网络掩码后，

R2 会将与 R3 的状态立即修改为 Down 状态。而 R3 会在 40S 死亡时间之后进行状态切换。

原因在于， R2 在修改 IP 地址的掩码后，会认为之前的连接中断，需要重新建立连接，所以重置状态机。

而 R3 则认为是无法沟通。故会等待死亡时间超时后才切换状态。

并且，该情况，在 R3 等待 40S 周期内，还是可以向 R2 转发数据， R2 可以接收到该数据包，但无法回复