HCIA笔记
网络基础:
应用层 抽象语言--> 编码
表示层 编码-->二进制
会话层 建立会话,提供会话地址 用于应用程序内部进行区分,没有统一标准
上三层主要还是软件(应用程序处理数据)
下四层主要负责数据传输
传输层 --- 端口号 + 分段 (TCP/UDP负责实施)
网络层 --- internet 协议(IP)-IP地址 --- 逻辑寻址
数据链路层 由两个子层构成,其中主要功能是介质访问控制层
物理层 物理硬件
数据链路层= 逻辑链路控制子层(LLC)+介质访问控制子层(MAC)
介质访问控制层 -- 控制物理硬件(识别硬件语言)--MAC
逻辑链路控制层 -- 协同上下层工作,其次负责校验
大---1、增加节点 2、传输距离
传输距离:中继器(放大器)--仅加压,不还原电波,纯物理层设备 --不能无限延长传输距离
增加节点:集线器(HUB)--多接口的中继器--构建星型结构
集线器网络下的缺点:
- 安全问题 2、延时大--垃圾信息导致 3、地址 4、冲突
地址-- 唯一性,标准化 -- MAC地址-- 网卡芯片的串号 全球唯一,出厂烧录芯片 48位二进制构成 --16进制显示
冲突-- 多个节点同时发送电流,电流在集线器上相遇、碰撞、抵消;--- 排队 (CSMA/CD)
CSMA/CD -- 载波侦听多路访问/冲突检测
通过以上的时间积累后,提出了能增加网络的核心需求: 网桥-->交换机
- 无限的传输距离
- 无冲突-- 同时实现所有节点可以同时收发自己的数据
- 单播 --- 一对一传输(安全且效率高)
交换机的作用:--- 介质访问控制层设备
- 代替集线器提供端口密度,用于大量节点互联
- 理论上无限延长传输距离 -- 识别电流为二进制,再重新将二进制转为电流(重写)
- 无冲突----将电流识别为二进制数据,然后存储再转发,来实现所有节点可以同时收发数据,同时没有电流与电流相遇的情况
- 单播-- 交换机识别数据中的源及目标MAC地址,基于本地的MAC地址表来进行转发
交换机的MAC地址表是自动记录源mac对应的接口产生;
交换机工作原理:
当数据帧进入交换机接口时,先从电流转为二进制,同时在本地的内存中进行存储;之后识别数据帧中源mac地址,将该mac地址与该数据进入的接口编号,映射记录到交换的MAC地址表中;之后再关注数据帧中的目标mac地址,同时查询交换机MAC地址表,若表中存在对应接口记录,将仅从对应中单播复制该数据;若表中没有记录,将洪泛该数据;
洪泛:除流量的入口外,其他所有接口复制转发;
大-->无限距离、无冲突、单播-->网桥-->交换机-->基于MAC地址单播转发-->洪泛-->洪泛的范围--路由器--IP地址(逻辑地址-临时地址)--->ARP --->广播-->广播域(洪泛域)
IP地址-- 目前流行两个版本IPV4 IPV6
IPV4地址--- 32位二进制构成 -- 点分十进制标识(显示)
IP地址存在两个部分,前段为网络位,用于标识所在的洪泛范围;后段为主机位,用于标记该个体;前后段的区分依赖子网掩码;
ARP --- 地址解析协议--通过对端的某种地址来获取对端的另一种地址;
正向ARP --AARP 已知同一网段的其他设备ip地址,通过广播查询到该ip地址对应的MAC地址;
广播--- 使用特殊地址,迫使交换机对数据进行洪泛,将该数据复制给该洪泛范围内的所有设备;
网络速率 约等 (带宽/8)*85%
分段:将上三层数据报文进行切分,便于传输和管理;受MTU限制--MTU最大传输单元-及一个数据段的容量上限 默认为1500字节
端口号:0-65535 其中1-1023为静态端口,注明端口
1024-65535为高端口号,动态端口号
客户端使用动态端口标记本地的进程,服务端使用注明端口来映射对应服务;
UDP:用户数据报文协议 --- 仅完成传输层的基本工作---端口号+分段
非面向连接的不可靠传输协议;
TCP:传输控制协议 --- 面向连接的可靠传输协议
除完成传输层的基本工作外,还需要保障传输的可靠性
面向连接 --- 在第一次传输数据前,通过三次握手建立段到端虚链路
可靠传输 --- 4种传输机制 确认、重传、排序、流控(滑动窗口)
IPV4的报头:
报头中最重要的参数为源、目标ip地址;TTL = 生存时间-每经过一次路由器转发减1;为0时必须丢弃;初始值--64 128 255
名词注解:
封装、解封装、DNS、PDU、TCP/IP、OSI
IPV4地址:由32位二进制构成,使用点分十进制标识
192.168.1.1
11000000101010000000000100000001
存在网络位+主机位
前段为网络位代表所在的广播域 后段为主机位代表广播域内部的唯一标识
依赖子网掩码来进行网络位和主机位的区分;连续1对应网络位,连续0对应主机位
110000001010100000000001 00000001 192.168.1.1
111111111111111111111111 00000000 255.255.255.0
IPV4地址分类: ABCDE 5类
其中ABC三类为单播地址 D类为组播地址 E类为保留地址-科研使用
单播地址-- 可以作为源ip地址,也可作为目标ip地址,代为一个唯一的节点
唯一可作为源ip地址的地址,也就是说但凡给一台设备进行ip地址配置时,只能配置单播地址;
组播地址-- 代表一个组内所有的设备
广播地址-- 代表一个广播域内所有的设备
【1】基于ip地址的第一个8位(第一段)进行区分0-255
A 1-126
B 128-191
C 192-223
D 224-239
E 240-255
【2】ABC三类均为单播地址,它们的区别在于默认的子网掩码不一样
A -255.0.0.0 B 255.255.0.0 C 255.255.255.0
基于大中小不同范围的网络进行的地址设备,但实际一个广播域不能容纳过多的用户,故在实际工程中存在无类别概念,及不使用默认设计的子网掩码,而是由管理员基于网络现状自行设计分配;
【3】特殊地址
1、127 环回地址 127.0.0.1 pc操作系统自带虚拟网卡,用于测试该系统的网络协议是否能够正常封装、解封装
2、0.0.0.0 及可以代表没有,也可以代表所有
3、255.255.255.255 受限广播地址 受到路由器的限制
4、在每一段地址中,主机位全0; 192.168.1.00000000 255.255.255.0
不是一个单播地址,不能配置给设备;网络号,用于这个段;
192.168.1.00000000 255.255.255.0=192.168.1.0 255.255.255.0
网络号简写:192.168.1.0/24
- 在每一段地址中,主机位全1;也不是一个单播地址,不能配置给设备;
直接广播地址;192.168.1.11111111 255.255.255.0 192.168.1.255/24
6、169.254.0.0/16 本地链路地址,自动私有地址
在本地自动获取ip地址失败时,有设备自行分配的地址,169.254为网络位,主机位随机
- 子网划分 VLSM变长子网掩码
通过延长子网掩码的长度,将原来的一个广播域地址,切分为多个网段,同时降低了每个网段内部的ip地址数量;
192.168.1.0/24
192.168.1. 0 0000000 192.168.1.0 192.168.1.1-126
255.255.255.1 0000000 255.255.255.128
192.168.1. 1 0000000 192.168.1.128 192.168.1.129-254
255.255.255.1 0000000 255.255.255.128
192.168.1.0/24 4个子网
128 64 32 16 8 4 2 1
192.168.1. 00 000000 192.168.1.0 192.168.1.1-62
255.255.255. 11 000000 255.255.255.192
192.168.1. 01 000000 192.168.1.64 192.168.1.65-126
255.255.255. 11 000000 255.255.255.192
192.168.1. 10 000000 192.168.1.128 192.168.1.129-190
255.255.255. 11 000000 255.255.255.192
192.168.1. 11 000000 192.168.1.192 192.168.1.193-254
255.255.255. 11 000000 255.255.255.192
172.16.0.0/15 4个子网
172.0001000 0.0 0000000.00000000 172.16.0.0 172.16.0.1--172.16.127.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 0.1 0000000.00000000 172.16.128.0 172.16.128.1-172.16.255.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 1.0 0000000.00000000 172.17.0.0 172.17.0.1-172.17.127.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 1.1 0000000.00000000 172.17.128.0 172.17.128.1-172.17.255.254
255.1111111 1.1 0000000.00000000 255.255.128.0
- 子网汇总 CIDR无类域间路由
取相同位,去不同位
172.16.33.0/24
172.16.44.0/24
172.16.55.0/24
172.16.63.0/24
172.16.001 00001.0
172.16.001 01100.0
172.16.001 10111.0
172.16.001 11111.0
172.16.001 00000.0/19
172.16.32.0 255.255.224.0
- ensp模拟器的安装+华为网络设备的基础配置
<Huawei> <>代表当下所在的模式 第一级模式 不同级别的模式可以做不同事情
该模式用于查看该设备的各种参数
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei] 第二级模式 可以对设备进行管理配置
[Huawei---???] 第三级模式,各种专用配置模式
[Huawei]interface g0/0/0 进入某个接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.250 255.255.255.0 配ip
display ip interface brief 查看接口ip配置简介
帮助模式:
? 查看该模式或该命令可以配置的单词及注解
tab键 自动补全单词
VRP(versatile routing platform通用路由平台)基础及操作
华为路由器的接口默认都是开启的
思科路由器的接口默认都是关闭的
在交换机模拟器及真机上,每次修改配置文件都会有相应配置改变提示,影响配置阅读:
<R1>undo terminal trapping 类似 cisco中的日志同步
<R1>undo terminal monitor //会把所有信息都会关闭(包括接口的up/down消息)
[R1]undo info-center enable //会把所有告警信息全部关掉(包括接口的up/down消息)。会不记录日志,慎用
基础命令
注:
真机AR2220不支持修改语言模式
模拟器上所有的路由器上不支持
模拟器上所有的交换机都支持(要使用默认的putty,CRT显示为乱码)
修改设备主机名:
sysname R1
dis this //查看当前视图下的配置
dis current-configuration //查看当前配置
dis history-command //查看最近的10条历史命令
dis logbuffer //查看系统日志
dis clock //查看当前的系统时间
修改系统时间:
<R1>clock datetime 8:00:00 2014-01-16
<R1>clock timezone HK add 8:00:00
最后一条命令为巡检时使用
删除文件时不能自定义本地路径:
cd .. //返回上一级目录
配置文件管理
当前配置保存在RAM中,启动配置保存在flash中
重启:reboot
保存现有配置:
清除启动配置:
重启:
真机上的VRP软件名:
AR2200的VRP软件名为:sd1:/ar2220-v200r001c01spc500.cc
模拟器上的启动配置文件名:
console口密码设置
某些设备默认为none,某些设备默认为password,可以查看dis cu确定
不需要密码直接登陆
user-interface con 0
authentication-mode none //如果为默认配置,可能并不显示在当前配置文件中
使用密码登陆
user-interface con 0
authentication-mode password //使用密码登陆
set authentication password simple/cipher huawei //在当前配置文件中存储的明文/密文密码
模拟器上console口下的用户权限默认为15
使用用户名和密码登陆
user-interface con 0
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type terminal //用于console口
local-user huawei privilege level 15 //模拟器上权限默认为15,权限较低则无法进入系统试图,但可使用super命令进入
super password level 3 cipher 123456 //模拟器上level显示为1-15,但最高只能输入为3(只支持0到3共4个级别),其他权限级别拒绝输入,或输入了反而无法进入
权限级别:
0、1:只能进入用户试图,没有进入系统试图的权限,需要用super进入
2:可以进入系统试图,但不能执行dis cu或aaa命令
》3:可以进入系统试图,可以执行dis cu或aaa命令
开启telnet功能
telnet server enable //telnet服务器端开启telnet服务,看设备型号,不一定默认开启(模拟器上默认开启)
使用密码登陆
VTY:(Virtual Teletype Terminal)虚拟终端
模拟器上:
user-interface vty 0 4 //vty为虚拟终端信道
authentication-mode password //设置认证模式,要使用密码进行登录验证(默认模式——默认配置在配置文件中不显示出来),或改为none:登录时不进行认证(模拟器上不支持)
set authentication password simple/cipher huawei //设置配置文件中存储的明文/密文密码
对于telnet用户一般要提供两层密码保护,否则默认客户是有权限限制的:
super password level 3 cipher 123456 //超级密码,一般用于二次telnet用户(使用super密码提供二次验证更加安全,比方法二更好),此密码至少为6位
<R1>telnet 127.0.0.1 //telnet命令只能在用户视图下使用
super //登陆上去后输入super password口令
方法二:
模拟器上:
user-interface vty 0 4
user privilege level 3 //设置VTY用户权限,默认为1,undo user privilege level //恢复用户权限为1
使用用户名和密码登陆
user-interface vty 0 4
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type telnet //必须指定用户的服务类型,否则用户无效
local-user huawei privilege level 15 //默认权限为1,如未设置权限则可使用super的权限登陆
路由协议基础
路由协议的优先级
思科和华为AD值的区别:
浮动静态路由的查看
ping后面的参数设置
ping –a 1.1.1.1 2.2.2.2 //带源1.1.1.1 ping目的2.2.2.2
tracert -a 1.1.1.1 2.2.2.2 //带源1.1.1.1 trace目的2.2.2.2
ping –c 1000 2.2.2.2 //发包数量,默认为5个
ping –s 9600 2.2.2.2 //发包字节数,模拟器上默认为56字节,最大可设置为9600字节
ping -c 1000 -a 1.1.1.1 3.3.3.3
华为设备的debug功能
<R1>terminal debugging //必须把debug信息显示在控制台才可以看到debug信息
<R1>debugging arp packet
<R1>undo debugging all
ip soft-forward enhance enable
网线:RJ-11(电话线) RJ-45(双绞线) 光纤 同轴电缆
网络设备识别的是数字信号-- 使用不同电波代表1和0(二进制)
RJ-11传输模拟信号 光纤传输光信号 RJ-45/同轴传输数字信号
故使用RJ-11或光纤传递数据需要调制解调器(猫)
RJ-45双绞线-- 由8根铜线构成 每条线缆用不同的颜色进行标记
两端使用相同的线序-- 直通线、平行线 -- 习惯两端均为568B线序
两端使用不同的线序--交叉线
同层设备互联使用交叉线,非同层设备互联使用直通线;由于近些年大量的网络设备接口均存在针脚自动识别功能,故可以不再限制线速;
带宽=民用最大2.5G/S 1000M/S 100M/S 10M/S 商用最大100G/S,但对部署环境要求较高,故实际工程中带宽要求在10G/S上时常开始使用光纤
[Huawei]sysname r1 修改设备名
[r1]
Undo + 需要删除的指令
[r1-GigabitEthernet0/0/1]undo shutdown 手工开启接口
FARP --无故ARP 在获取ip地址,或刚使用一个新的ip地址时,将对该ip地址进行ARP查询--判断ip地址的冲突--地址冲突检测
- DHCP:动态主机配置协议--统一分发管理ip地址
在网络中存在dhcp服务器,负责给需要ip地址的设备进行ip地址的自动分配,实现设备无需手工配置ip地址;
成为DHCP服务器的条件:
- 该设备存在接口或网卡连接到所要分配ip地址的广播域内
- 该接口或网卡必须已经配置合法ip地址,且可以正常通讯
[r1]dhcp enable 先在设备上开启DHCP的服务
一台设备上可以创建多个池塘,但一个池塘只能服务一个广播域
[r1]ip pool wangcai 创建名为wangcai的dhcp池塘
[r1-ip-pool-wangcai]network 192.168.1.0 mask 24 关联接口,可分配地址范围
[r1-ip-pool-wangcai]gateway-list 192.168.1.1 该网段的网关ip地址
[r1-ip-pool-wangcai]dns-list 192.168.2.2 114.114.114.114 DNS服务器地址
切记:华为设备要求在需要分配ip地址的接口上再次开启服务
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]dhcp select global
Ipconfig
- 网络部署思路
- 拓扑设计--ip地址规划
- 实施
- 拓扑搭建
- 底层--所有节点拥有合法ip地址
- 路由--全网可达
- 策略-->规则 优化 安全
- 测试
- 排错
- 维护
- 升级 -- 割接
当数据包进入路由器后,路由器将基于包中的目标ip地址,查询本地的路由表,若表中存在记录,将无条件按照记录接口转发;若路由表中没有记录,将丢弃该数据;
<r1>display ip routing-table 查看路由表
默认路由器均存在直连网段的路由,且是以一个网段为一条进行记录;所有非直连网段的路由被成为未知网段;获取未知网段的方法:
- 静态路由-- 管理员手写
- 动态路由-- 路由器上运行相同的协议后,路由器间沟通协商自动生成路由表;
静态路由写法:
[r1]ip route-static 192.168.3.0 24 192.168.2.2
目标网络号 下一跳
下一跳:流量下一个进入的路由器接口ip地址
- 扩展配置
1)负载均衡 --- 当路由器访问同一目标段,存在多条开销相似路径时,可以让设备将流量拆分后延多条路径同时传输;起到带宽叠加的作用;
静态路由的缺点:
- 在拓扑相对复杂的环境,配置管理繁琐
- 不能基于拓扑的变化而实时的收敛
收敛(实时基于新的环境计算,生成路径)
动态路由协议--- 基于拓扑实时计算,收敛,生成路由表;
路由器间共享、协商、计算,来获取实时的未知网段路由条目;
动态路由协议的缺点:
- 路由器间,需要协商、沟通、计算-- 占用硬件资源
- 选路规则为一种算法,存在计算错误的可能
- 路由器间需要沟通,面临安全问题;
在结构简单的小型网络建议使用静态路由;在环境复杂的网络使用动态路由,且在使用动态协议的过程中,尽量优化、保障安全;
动态路由协议分类:
基于AS分成两大类-- AS自治系统 标准AS编号--0-65535 -16位二进制
扩展AS编号--32位二进制
标准AS中 1-64511公有 64512-65535 私有
在单个AS内部使用的路由协议--- IGP协议--内部网关路由协议
在AS与AS之间使用的路由协议--EGP协议--外部网关路由协议
IGP即可用于单个AS内部全网可达,也可用企业、家庭这种中小型网络的全网可达;
IGP协议的分类:
- 基于更新时是否携带子网掩码
有类别 -- 不携带子网掩码
无类别 -- 携带子网掩码
- 基于工作的特点进行分类
DV-距离矢量 -- 邻居(直连)间共享路由表 --- 传闻型路由--RIP、EIGRP
LS-链路状态 -- 邻居间共享本地拓扑 --- 本地计算路由-- OSPF/ISIS
RIP -- 路由信息协议 V1/V2 NG(IPV6专用)
距离矢量协议,使用跳数作为度量;支持等开销负载均衡; 存在周期更新(30s);基于UDP 520端口工作; RIP的周期-- 用于保活、没有确认机制; -- 因此之后的路由协议均存在---HELLO包和ACK包; 默认优先级为100;
V1和V2的区别:
- V1版为有类别协议,V2版为无类别;在V1中不支持子网划分,也不支持子网汇总,V2支持VLSM和子网汇总;
- V1使用广播更新--255.255.255.255 v2使用组播更新--224.0.0.9
在未进行组播部署的环境中,使用组播地址作为目标地址,其工作原理同广播一致;在源头所在广播域内洪泛;
切记:即使在部署了组播的环境内,rip协议组播更新时,其数据包的TTL值默认依然为1--RIP使用的组播,实际和广播的工作原理一致;
3、V2支持认证--在更新数据中携带身份核实的秘钥,来保障传输的安全性;
RIP的工作原理:
启动配置完成,邻居间(直连)两两进行路由条目的共享,从邻居处学习到本地未知的路由条目,然后将其加载到本地的路由表中;当整个RIP协议工作半径内所有路由器的路由器信息一致,标志着收敛完成;
当一台路由器通过RIP协议,学习到两条到达相同目标,但跳数一致的路由条目时,将同时加表实现等开销负载均衡;若跳数不同,将加载跳数最小值条目;其余作为备选-- 可以基于拓扑变化重新选路;
RIP的破环机制:
- 水平分割-- 从此口入,不从此口出 --只能在直线拓扑中防环,其次用于避免在MA网络中的重复更新; MA--多路访问 一个网段的内节点数量不限制
- 最大跳数-- 15跳 16跳不可达
- 抑制计时器-180s
- 触发更新---毒性逆转水平分割
配置命令:RIP只能宣告主类
[r1]rip 1 启动时可以定义进程号,仅具有本地意义;若不指定进程号,默认为1;
[r1-rip-1]
[r1-rip-1]version 1 选择版本1
[r1-rip-1]version 2 或者选择版本2
宣告:RIP宣告主类网段,之后路由器在本地所有接口,寻找处于被宣告主类的ip地址;
若本地接口地址属于被宣告主类,那么该接口被选中; 被选中接口存在两个规则;
- 激活--该接口可以收发rip 的更新信息
2、路由-该接口的信息可以被告知给本地邻居
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 172.16.0.0
[r1-rip-1]network 192.168.1.0
RIP的扩展配置:
- V2的手工认证 -- 在更新包中,携带一个共享秘钥;用于合适邻居的生成;华为设备在开启认证的同时,还可以将更新包整个加密传输;避免被第三人冒充或伪装,保障更新的安全性
在直连邻居的接口上配置
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
邻居间认证的模式、加密方式、秘钥完全一致;
- V2的手工汇总--在更新源路由器上,本地所有更新发出的接口上进行配置即可
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]rip summary-address 2.2.2.0 255.255.254.0
- 被动(沉默)接口--仅接收不发送路由协议信息,用于连接终端用户的接口,不得用于连接邻居路由器的接口,否则邻居间无法正常共享路由
[r1]rip
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
- 加快收敛 ---RIP计时器 30s更新 180s失效 300s刷新
通过修改计时器,提高协议的工作效率;修改时建议维持原有的倍数关系,且不易修改的过小
[r1]rip
[r1-rip-1]timers rip 30 180 300 修改时,建议全网一致
- 缺省路由
[r3]rip
[r3-rip-1]default-route originate 在内外之间的边界路由器上配置该命令后,将使得内部运行RIP协议的路由器,产生缺省路由指向边界路由器;但边界路由器上自身到达ISP的缺省路由,还需要管理员使用静态路由手写添加;
OSPF:开放式最短路径优先协议
无类别链路状态型路由协议;组播更新224.0.0.5、224.0.0.6支持等开销负载均衡;
链路状态协议,邻居间共享拓扑,优势在于防环和选路,缺点为更新量和计算量很大;
故OSPF为了能够在大型网络生成,设计了结构化部署规则---1、良好的地址规划
- 区域划分
触发更新,每30min一次周期更新;
【1】OSPF的5种数据包
hello包 --邻居、邻接关系的发现、建立、周期保活(10s)
DBD包 -- 数据库描述包 ---本地数据库目录
LSR包-- 链路状态请求 --用于询问本地未知的LSA信息
LSU包--链路状态更新 --- 用于共享具体的LSA信息
LSack包--链路状态确认
LSA--链路状态通告--具体的一条一条拓扑或者路由信息
【2】OSPF的状态机
Down 一旦接到到其他设备发出的hello包进入下一个状态
init初始化 一旦接收到的hello包中,本地我方RID进入下一状态
2way双向通讯 邻居关系建立的标志
条件:点到点直接进入下一状态;MA网络将进行DR/BDR选举(40S),非DR/BDR之间不能进入下一状态;
Exstart预启动 使用不携带数据库目录的DBD包,进行主从关系的选举,RID数值大的为主,优先进入下一个状态--其目的在于对DBD包进行排序,避免更新量同一时间的激增
exchange准交换 --- 使用DBD包进行数据库目录信息的交换
loadling加载 -- 基于接收的数据库目录和本地比对,然后基于本地未知的LSA信息,使用LSR进行查询,对端使用LSU来应答,需要本地最后ack确认--获取本地未知的LSA信息
full转发 --- 邻接(毗邻)关系建立的标志
【3】OSPF的工作过程
启动配置完成后,本地路由器开始收发ospf的hello包,建立邻居关系,生成邻居表;
之后与邻居表中所有邻居进行条件的匹配,匹配失败者间维持邻居关系,仅hello包周期保活即可;
匹配成功者间,将建立邻接关系;先使用类hello的DBD进行主从关系选举,之后使用DBD包进行数据库目录的共享;再使用LSR进行查询,LSU进行应答,ack确认;
---- 使用DBD/LSR/LSU/LSack来获取本地未知的LSA信息;
当本地的数据库与邻居的数据库一致时,同步完成--本地存在数据库表(LSDB链路状态数据库--所有LSA集合);
同步完成后,本地启动SFP算法,将数据库转换为有向图-->最短路径树;然后以本地为起点,到达所有未知网段的最短路径,加载于本地的路由表中;
收敛完成后,仅hello每10s周期保活邻居、邻接关系;再每1800s周期和邻接比对数据库;
结构的突变:
- 新增网段 -- 直连新增网段的设备,将直接使用LSU告知本地所有的邻接,再扩散到全网;需要邻接关系确认该更新包;
- 断开网段--直连断开网段的设备,将直接使用LSU告知本地所有的邻接,再扩散到全网;需要邻接关系确认该更新包;
- 无法沟通 --- 存在dead time ,默认为hello time的4倍;dead time到时时,将断开邻居关系,删除信息
【4】OSPF的基础配置
[r1]ospf 1 router-id 1.1.1.1 启动时可以定义进程号,仅具有本地意义;默认为1;建议同时定义该设备的RID -- 使用IPV4地址,全网唯一;手工配置--环回接口最大数值的ip地址---物理接口最大数值的ip地址 一旦RID生效,默认不能直接修改
[r1-ospf-1]
宣告:1、激活接口协议 2、共享接口信息 3、区域划分
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.65 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]net
[r2-ospf-1-area-0.0.0.1]network 192.168.1.5 0.0.0.0
宣告时,使用反掩码精确的匹配
区域划分规则:
- 星型结构 中间为骨干区域,区域编号0;大于0为非骨干编号,所有非骨干区域必须连接骨干区域,否则无法正常收敛
- 必须存在ABR -- 区域边界路由器
宣告配置完成后,邻居间开始收发hello包,获取对端的RID,建立邻居关系,生成邻居表:
[r2]display ospf peer 查看邻居表-详细
[r2]display ospf peer brief 查看邻居关系简表
邻居关系建立后,邻居间进行条件的匹配;匹配失败,仅hello保活邻居关系即可;匹配成功者间,可建立邻接关系,基于DBD/LSR/LSU/LSack来获取本地未知的所有LSA信息;完整本地的数据库;
[r2]display ospf lsdb
当本地数据库同步完成后,本地启动SFP(最短路径优先算法),将数据库中所有的1/2类LSA整合为有向图,再生成最短路径树;然后以本地为起点计算到达本地所有未知网段的最短路径,将它们加载于本地的路由表中来完成收敛;
<r1>display ip routing-table protocol ospf
华为设备通过OSPF协议学习到的路由,正常其优先级为10;使用的度量为cost值;
cost值=开销值= 参考带宽/接口带宽
默认参考带宽为100兆;若接口带宽大于参考带宽,cost值为1;可能导致选路不佳,建议修改参考带宽
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000 若修改参考带宽,全网设备需要修改为一致
OSPF默认选择cost值之和最小的路径,为最佳路径来加载到路由表中;
【5】OSPF的扩展配置
- 从邻居关系建立成为邻接关系的条件
需要关注网络类型
点到点 --- 一个网段内只能存在两个节点--物理限制,无法添加第三个节点--串行链路(串线)
MA--多路访问 -- 在一个网段内节点的数量不限制,不由当下连接了几个节点来决定,而是该网络是否限制了连接数量来决定--以太网(RJ-45双绞线、光纤、同轴电缆、WIFI。。。)
在点到点网络中,所有邻居关系直接建立为邻接关系;
在MA网络中,若两两之间皆为邻接,那么将出现大量的重复更新,且ospf需要和邻接之间对比数据库,故不能像RIP协议一样,使用接口水平分割来规避;
最终OSPF协议在MA中进行DR/BDR选举来解决重复更新;
在一个网段,只有非DR/BDR路由器之间为邻居关系
选举规则:
先比较参选接口的优先级,0-255,大优;默认为1;若优先级相同,比较参选设备的RID,数值大优;
通过修改接口优先级,可以干涉选举
[r7]interface g0/0/0 在参选接口上配置
[r7-GigabitEthernet0/0/0]ospf dr-priority 2
该选举是非抢占性;因此在修改优先级后,需要手工重启所有参选设备的OSPF进程;
<r6>reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]:y
建议将非DR/BDR的设备优先级修改为0,0代表不参选,不用重启进程;
切记:在一个ma网段,有且至少有一台参选,否则该网段无任何邻接关系;
2)认证 --- 邻居间使用共享秘钥核实身份,华为设备同时可以加密ospf信息
[r1]interface g0/0/1 在直连邻居的接口上配置
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
模式 编号 加密 秘钥
要求邻居间模式、编号、秘钥、加密完全一致
- 汇总 --- OSPF不支持接口汇总,因为区域内部传递拓扑信息,不可能修改;区域之间传递的路由条目信息,可以进行汇总--- ospf支持区域汇总
[r2]ospf 1
[r2-ospf-1]area 0 该区域编号为,明细路由的来源区域
[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.1.64 255.255.255.192
- 沉默接口 -- 仅接收不发送路由协议信息,仅用于连接终端用户的接口,不得用于连接邻居的接口,否则邻居间无法收发hello,无法建立邻居关系
[r1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/2
- 缺省路由 -- 在边界路由器上配置后,将内部所有运行OSPF协议的路由器发送缺省路由信息,使得内部所有运行ospf协议的路由,自动生成缺省路由,指向边界路由器方向
[r3]ospf 1
[r3-ospf-1]default-route-advertise always
HCIA笔记
网络基础:
应用层 抽象语言--> 编码
表示层 编码-->二进制
会话层 建立会话,提供会话地址 用于应用程序内部进行区分,没有统一标准
上三层主要还是软件(应用程序处理数据)
下四层主要负责数据传输
传输层 --- 端口号 + 分段 (TCP/UDP负责实施)
网络层 --- internet 协议(IP)-IP地址 --- 逻辑寻址
数据链路层 由两个子层构成,其中主要功能是介质访问控制层
物理层 物理硬件
数据链路层= 逻辑链路控制子层(LLC)+介质访问控制子层(MAC)
介质访问控制层 -- 控制物理硬件(识别硬件语言)--MAC
逻辑链路控制层 -- 协同上下层工作,其次负责校验
大---1、增加节点 2、传输距离
传输距离:中继器(放大器)--仅加压,不还原电波,纯物理层设备 --不能无限延长传输距离
增加节点:集线器(HUB)--多接口的中继器--构建星型结构
集线器网络下的缺点:
- 安全问题 2、延时大--垃圾信息导致 3、地址 4、冲突
地址-- 唯一性,标准化 -- MAC地址-- 网卡芯片的串号 全球唯一,出厂烧录芯片 48位二进制构成 --16进制显示
冲突-- 多个节点同时发送电流,电流在集线器上相遇、碰撞、抵消;--- 排队 (CSMA/CD)
CSMA/CD -- 载波侦听多路访问/冲突检测
通过以上的时间积累后,提出了能增加网络的核心需求: 网桥-->交换机
- 无限的传输距离
- 无冲突-- 同时实现所有节点可以同时收发自己的数据
- 单播 --- 一对一传输(安全且效率高)
交换机的作用:--- 介质访问控制层设备
- 代替集线器提供端口密度,用于大量节点互联
- 理论上无限延长传输距离 -- 识别电流为二进制,再重新将二进制转为电流(重写)
- 无冲突----将电流识别为二进制数据,然后存储再转发,来实现所有节点可以同时收发数据,同时没有电流与电流相遇的情况
- 单播-- 交换机识别数据中的源及目标MAC地址,基于本地的MAC地址表来进行转发
交换机的MAC地址表是自动记录源mac对应的接口产生;
交换机工作原理:
当数据帧进入交换机接口时,先从电流转为二进制,同时在本地的内存中进行存储;之后识别数据帧中源mac地址,将该mac地址与该数据进入的接口编号,映射记录到交换的MAC地址表中;之后再关注数据帧中的目标mac地址,同时查询交换机MAC地址表,若表中存在对应接口记录,将仅从对应中单播复制该数据;若表中没有记录,将洪泛该数据;
洪泛:除流量的入口外,其他所有接口复制转发;
大-->无限距离、无冲突、单播-->网桥-->交换机-->基于MAC地址单播转发-->洪泛-->洪泛的范围--路由器--IP地址(逻辑地址-临时地址)--->ARP --->广播-->广播域(洪泛域)
IP地址-- 目前流行两个版本IPV4 IPV6
IPV4地址--- 32位二进制构成 -- 点分十进制标识(显示)
IP地址存在两个部分,前段为网络位,用于标识所在的洪泛范围;后段为主机位,用于标记该个体;前后段的区分依赖子网掩码;
ARP --- 地址解析协议--通过对端的某种地址来获取对端的另一种地址;
正向ARP --AARP 已知同一网段的其他设备ip地址,通过广播查询到该ip地址对应的MAC地址;
广播--- 使用特殊地址,迫使交换机对数据进行洪泛,将该数据复制给该洪泛范围内的所有设备;
网络速率 约等 (带宽/8)*85%
分段:将上三层数据报文进行切分,便于传输和管理;受MTU限制--MTU最大传输单元-及一个数据段的容量上限 默认为1500字节
端口号:0-65535 其中1-1023为静态端口,注明端口
1024-65535为高端口号,动态端口号
客户端使用动态端口标记本地的进程,服务端使用注明端口来映射对应服务;
UDP:用户数据报文协议 --- 仅完成传输层的基本工作---端口号+分段
非面向连接的不可靠传输协议;
TCP:传输控制协议 --- 面向连接的可靠传输协议
除完成传输层的基本工作外,还需要保障传输的可靠性
面向连接 --- 在第一次传输数据前,通过三次握手建立段到端虚链路
可靠传输 --- 4种传输机制 确认、重传、排序、流控(滑动窗口)
IPV4的报头:
报头中最重要的参数为源、目标ip地址;TTL = 生存时间-每经过一次路由器转发减1;为0时必须丢弃;初始值--64 128 255
名词注解:
封装、解封装、DNS、PDU、TCP/IP、OSI
IPV4地址:由32位二进制构成,使用点分十进制标识
192.168.1.1
11000000101010000000000100000001
存在网络位+主机位
前段为网络位代表所在的广播域 后段为主机位代表广播域内部的唯一标识
依赖子网掩码来进行网络位和主机位的区分;连续1对应网络位,连续0对应主机位
110000001010100000000001 00000001 192.168.1.1
111111111111111111111111 00000000 255.255.255.0
IPV4地址分类: ABCDE 5类
其中ABC三类为单播地址 D类为组播地址 E类为保留地址-科研使用
单播地址-- 可以作为源ip地址,也可作为目标ip地址,代为一个唯一的节点
唯一可作为源ip地址的地址,也就是说但凡给一台设备进行ip地址配置时,只能配置单播地址;
组播地址-- 代表一个组内所有的设备
广播地址-- 代表一个广播域内所有的设备
【1】基于ip地址的第一个8位(第一段)进行区分0-255
A 1-126
B 128-191
C 192-223
D 224-239
E 240-255
【2】ABC三类均为单播地址,它们的区别在于默认的子网掩码不一样
A -255.0.0.0 B 255.255.0.0 C 255.255.255.0
基于大中小不同范围的网络进行的地址设备,但实际一个广播域不能容纳过多的用户,故在实际工程中存在无类别概念,及不使用默认设计的子网掩码,而是由管理员基于网络现状自行设计分配;
【3】特殊地址
1、127 环回地址 127.0.0.1 pc操作系统自带虚拟网卡,用于测试该系统的网络协议是否能够正常封装、解封装
2、0.0.0.0 及可以代表没有,也可以代表所有
3、255.255.255.255 受限广播地址 受到路由器的限制
4、在每一段地址中,主机位全0; 192.168.1.00000000 255.255.255.0
不是一个单播地址,不能配置给设备;网络号,用于这个段;
192.168.1.00000000 255.255.255.0=192.168.1.0 255.255.255.0
网络号简写:192.168.1.0/24
- 在每一段地址中,主机位全1;也不是一个单播地址,不能配置给设备;
直接广播地址;192.168.1.11111111 255.255.255.0 192.168.1.255/24
6、169.254.0.0/16 本地链路地址,自动私有地址
在本地自动获取ip地址失败时,有设备自行分配的地址,169.254为网络位,主机位随机
- 子网划分 VLSM变长子网掩码
通过延长子网掩码的长度,将原来的一个广播域地址,切分为多个网段,同时降低了每个网段内部的ip地址数量;
192.168.1.0/24
192.168.1. 0 0000000 192.168.1.0 192.168.1.1-126
255.255.255.1 0000000 255.255.255.128
192.168.1. 1 0000000 192.168.1.128 192.168.1.129-254
255.255.255.1 0000000 255.255.255.128
192.168.1.0/24 4个子网
128 64 32 16 8 4 2 1
192.168.1. 00 000000 192.168.1.0 192.168.1.1-62
255.255.255. 11 000000 255.255.255.192
192.168.1. 01 000000 192.168.1.64 192.168.1.65-126
255.255.255. 11 000000 255.255.255.192
192.168.1. 10 000000 192.168.1.128 192.168.1.129-190
255.255.255. 11 000000 255.255.255.192
192.168.1. 11 000000 192.168.1.192 192.168.1.193-254
255.255.255. 11 000000 255.255.255.192
172.16.0.0/15 4个子网
172.0001000 0.0 0000000.00000000 172.16.0.0 172.16.0.1--172.16.127.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 0.1 0000000.00000000 172.16.128.0 172.16.128.1-172.16.255.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 1.0 0000000.00000000 172.17.0.0 172.17.0.1-172.17.127.254
255.1111111 1.1 0000000.00000000 255.255.128.0
172.0001000 1.1 0000000.00000000 172.17.128.0 172.17.128.1-172.17.255.254
255.1111111 1.1 0000000.00000000 255.255.128.0
- 子网汇总 CIDR无类域间路由
取相同位,去不同位
172.16.33.0/24
172.16.44.0/24
172.16.55.0/24
172.16.63.0/24
172.16.001 00001.0
172.16.001 01100.0
172.16.001 10111.0
172.16.001 11111.0
172.16.001 00000.0/19
172.16.32.0 255.255.224.0
- ensp模拟器的安装+华为网络设备的基础配置
<Huawei> <>代表当下所在的模式 第一级模式 不同级别的模式可以做不同事情
该模式用于查看该设备的各种参数
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei] 第二级模式 可以对设备进行管理配置
[Huawei---???] 第三级模式,各种专用配置模式
[Huawei]interface g0/0/0 进入某个接口
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.250 255.255.255.0 配ip
display ip interface brief 查看接口ip配置简介
帮助模式:
? 查看该模式或该命令可以配置的单词及注解
tab键 自动补全单词
VRP(versatile routing platform通用路由平台)基础及操作
华为路由器的接口默认都是开启的
思科路由器的接口默认都是关闭的
在交换机模拟器及真机上,每次修改配置文件都会有相应配置改变提示,影响配置阅读:
<R1>undo terminal trapping 类似 cisco中的日志同步
<R1>undo terminal monitor //会把所有信息都会关闭(包括接口的up/down消息)
[R1]undo info-center enable //会把所有告警信息全部关掉(包括接口的up/down消息)。会不记录日志,慎用
基础命令
注:
真机AR2220不支持修改语言模式
模拟器上所有的路由器上不支持
模拟器上所有的交换机都支持(要使用默认的putty,CRT显示为乱码)
修改设备主机名:
sysname R1
dis this //查看当前视图下的配置
dis current-configuration //查看当前配置
dis history-command //查看最近的10条历史命令
dis logbuffer //查看系统日志
dis clock //查看当前的系统时间
修改系统时间:
<R1>clock datetime 8:00:00 2014-01-16
<R1>clock timezone HK add 8:00:00
最后一条命令为巡检时使用
删除文件时不能自定义本地路径:
cd .. //返回上一级目录
配置文件管理
当前配置保存在RAM中,启动配置保存在flash中
重启:reboot
保存现有配置:
清除启动配置:
重启:
真机上的VRP软件名:
AR2200的VRP软件名为:sd1:/ar2220-v200r001c01spc500.cc
模拟器上的启动配置文件名:
console口密码设置
某些设备默认为none,某些设备默认为password,可以查看dis cu确定
不需要密码直接登陆
user-interface con 0
authentication-mode none //如果为默认配置,可能并不显示在当前配置文件中
使用密码登陆
user-interface con 0
authentication-mode password //使用密码登陆
set authentication password simple/cipher huawei //在当前配置文件中存储的明文/密文密码
模拟器上console口下的用户权限默认为15
使用用户名和密码登陆
user-interface con 0
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type terminal //用于console口
local-user huawei privilege level 15 //模拟器上权限默认为15,权限较低则无法进入系统试图,但可使用super命令进入
super password level 3 cipher 123456 //模拟器上level显示为1-15,但最高只能输入为3(只支持0到3共4个级别),其他权限级别拒绝输入,或输入了反而无法进入
权限级别:
0、1:只能进入用户试图,没有进入系统试图的权限,需要用super进入
2:可以进入系统试图,但不能执行dis cu或aaa命令
》3:可以进入系统试图,可以执行dis cu或aaa命令
开启telnet功能
telnet server enable //telnet服务器端开启telnet服务,看设备型号,不一定默认开启(模拟器上默认开启)
使用密码登陆
VTY:(Virtual Teletype Terminal)虚拟终端
模拟器上:
user-interface vty 0 4 //vty为虚拟终端信道
authentication-mode password //设置认证模式,要使用密码进行登录验证(默认模式——默认配置在配置文件中不显示出来),或改为none:登录时不进行认证(模拟器上不支持)
set authentication password simple/cipher huawei //设置配置文件中存储的明文/密文密码
对于telnet用户一般要提供两层密码保护,否则默认客户是有权限限制的:
super password level 3 cipher 123456 //超级密码,一般用于二次telnet用户(使用super密码提供二次验证更加安全,比方法二更好),此密码至少为6位
<R1>telnet 127.0.0.1 //telnet命令只能在用户视图下使用
super //登陆上去后输入super password口令
方法二:
模拟器上:
user-interface vty 0 4
user privilege level 3 //设置VTY用户权限,默认为1,undo user privilege level //恢复用户权限为1
使用用户名和密码登陆
user-interface vty 0 4
authentication-mode aaa
aaa
local-user huawei password cipher huawei
local-user huawei service-type telnet //必须指定用户的服务类型,否则用户无效
local-user huawei privilege level 15 //默认权限为1,如未设置权限则可使用super的权限登陆
路由协议基础
路由协议的优先级
思科和华为AD值的区别:
浮动静态路由的查看
ping后面的参数设置
ping –a 1.1.1.1 2.2.2.2 //带源1.1.1.1 ping目的2.2.2.2
tracert -a 1.1.1.1 2.2.2.2 //带源1.1.1.1 trace目的2.2.2.2
ping –c 1000 2.2.2.2 //发包数量,默认为5个
ping –s 9600 2.2.2.2 //发包字节数,模拟器上默认为56字节,最大可设置为9600字节
ping -c 1000 -a 1.1.1.1 3.3.3.3
华为设备的debug功能
<R1>terminal debugging //必须把debug信息显示在控制台才可以看到debug信息
<R1>debugging arp packet
<R1>undo debugging all
ip soft-forward enhance enable
网线:RJ-11(电话线) RJ-45(双绞线) 光纤 同轴电缆
网络设备识别的是数字信号-- 使用不同电波代表1和0(二进制)
RJ-11传输模拟信号 光纤传输光信号 RJ-45/同轴传输数字信号
故使用RJ-11或光纤传递数据需要调制解调器(猫)
RJ-45双绞线-- 由8根铜线构成 每条线缆用不同的颜色进行标记
两端使用相同的线序-- 直通线、平行线 -- 习惯两端均为568B线序
两端使用不同的线序--交叉线
同层设备互联使用交叉线,非同层设备互联使用直通线;由于近些年大量的网络设备接口均存在针脚自动识别功能,故可以不再限制线速;
带宽=民用最大2.5G/S 1000M/S 100M/S 10M/S 商用最大100G/S,但对部署环境要求较高,故实际工程中带宽要求在10G/S上时常开始使用光纤
[Huawei]sysname r1 修改设备名
[r1]
Undo + 需要删除的指令
[r1-GigabitEthernet0/0/1]undo shutdown 手工开启接口
FARP --无故ARP 在获取ip地址,或刚使用一个新的ip地址时,将对该ip地址进行ARP查询--判断ip地址的冲突--地址冲突检测
- DHCP:动态主机配置协议--统一分发管理ip地址
在网络中存在dhcp服务器,负责给需要ip地址的设备进行ip地址的自动分配,实现设备无需手工配置ip地址;
成为DHCP服务器的条件:
- 该设备存在接口或网卡连接到所要分配ip地址的广播域内
- 该接口或网卡必须已经配置合法ip地址,且可以正常通讯
[r1]dhcp enable 先在设备上开启DHCP的服务
一台设备上可以创建多个池塘,但一个池塘只能服务一个广播域
[r1]ip pool wangcai 创建名为wangcai的dhcp池塘
[r1-ip-pool-wangcai]network 192.168.1.0 mask 24 关联接口,可分配地址范围
[r1-ip-pool-wangcai]gateway-list 192.168.1.1 该网段的网关ip地址
[r1-ip-pool-wangcai]dns-list 192.168.2.2 114.114.114.114 DNS服务器地址
切记:华为设备要求在需要分配ip地址的接口上再次开启服务
[r1]interface g0/0/0
[r1-GigabitEthernet0/0/0]dhcp select global
Ipconfig
- 网络部署思路
- 拓扑设计--ip地址规划
- 实施
- 拓扑搭建
- 底层--所有节点拥有合法ip地址
- 路由--全网可达
- 策略-->规则 优化 安全
- 测试
- 排错
- 维护
- 升级 -- 割接
当数据包进入路由器后,路由器将基于包中的目标ip地址,查询本地的路由表,若表中存在记录,将无条件按照记录接口转发;若路由表中没有记录,将丢弃该数据;
<r1>display ip routing-table 查看路由表
默认路由器均存在直连网段的路由,且是以一个网段为一条进行记录;所有非直连网段的路由被成为未知网段;获取未知网段的方法:
- 静态路由-- 管理员手写
- 动态路由-- 路由器上运行相同的协议后,路由器间沟通协商自动生成路由表;
静态路由写法:
[r1]ip route-static 192.168.3.0 24 192.168.2.2
目标网络号 下一跳
下一跳:流量下一个进入的路由器接口ip地址
- 扩展配置
1)负载均衡 --- 当路由器访问同一目标段,存在多条开销相似路径时,可以让设备将流量拆分后延多条路径同时传输;起到带宽叠加的作用;
静态路由的缺点:
- 在拓扑相对复杂的环境,配置管理繁琐
- 不能基于拓扑的变化而实时的收敛
收敛(实时基于新的环境计算,生成路径)
动态路由协议--- 基于拓扑实时计算,收敛,生成路由表;
路由器间共享、协商、计算,来获取实时的未知网段路由条目;
动态路由协议的缺点:
- 路由器间,需要协商、沟通、计算-- 占用硬件资源
- 选路规则为一种算法,存在计算错误的可能
- 路由器间需要沟通,面临安全问题;
在结构简单的小型网络建议使用静态路由;在环境复杂的网络使用动态路由,且在使用动态协议的过程中,尽量优化、保障安全;
动态路由协议分类:
基于AS分成两大类-- AS自治系统 标准AS编号--0-65535 -16位二进制
扩展AS编号--32位二进制
标准AS中 1-64511公有 64512-65535 私有
在单个AS内部使用的路由协议--- IGP协议--内部网关路由协议
在AS与AS之间使用的路由协议--EGP协议--外部网关路由协议
IGP即可用于单个AS内部全网可达,也可用企业、家庭这种中小型网络的全网可达;
IGP协议的分类:
- 基于更新时是否携带子网掩码
有类别 -- 不携带子网掩码
无类别 -- 携带子网掩码
- 基于工作的特点进行分类
DV-距离矢量 -- 邻居(直连)间共享路由表 --- 传闻型路由--RIP、EIGRP
LS-链路状态 -- 邻居间共享本地拓扑 --- 本地计算路由-- OSPF/ISIS
RIP -- 路由信息协议 V1/V2 NG(IPV6专用)
距离矢量协议,使用跳数作为度量;支持等开销负载均衡; 存在周期更新(30s);基于UDP 520端口工作; RIP的周期-- 用于保活、没有确认机制; -- 因此之后的路由协议均存在---HELLO包和ACK包; 默认优先级为100;
V1和V2的区别:
- V1版为有类别协议,V2版为无类别;在V1中不支持子网划分,也不支持子网汇总,V2支持VLSM和子网汇总;
- V1使用广播更新--255.255.255.255 v2使用组播更新--224.0.0.9
在未进行组播部署的环境中,使用组播地址作为目标地址,其工作原理同广播一致;在源头所在广播域内洪泛;
切记:即使在部署了组播的环境内,rip协议组播更新时,其数据包的TTL值默认依然为1--RIP使用的组播,实际和广播的工作原理一致;
3、V2支持认证--在更新数据中携带身份核实的秘钥,来保障传输的安全性;
RIP的工作原理:
启动配置完成,邻居间(直连)两两进行路由条目的共享,从邻居处学习到本地未知的路由条目,然后将其加载到本地的路由表中;当整个RIP协议工作半径内所有路由器的路由器信息一致,标志着收敛完成;
当一台路由器通过RIP协议,学习到两条到达相同目标,但跳数一致的路由条目时,将同时加表实现等开销负载均衡;若跳数不同,将加载跳数最小值条目;其余作为备选-- 可以基于拓扑变化重新选路;
RIP的破环机制:
- 水平分割-- 从此口入,不从此口出 --只能在直线拓扑中防环,其次用于避免在MA网络中的重复更新; MA--多路访问 一个网段的内节点数量不限制
- 最大跳数-- 15跳 16跳不可达
- 抑制计时器-180s
- 触发更新---毒性逆转水平分割
配置命令:RIP只能宣告主类
[r1]rip 1 启动时可以定义进程号,仅具有本地意义;若不指定进程号,默认为1;
[r1-rip-1]
[r1-rip-1]version 1 选择版本1
[r1-rip-1]version 2 或者选择版本2
宣告:RIP宣告主类网段,之后路由器在本地所有接口,寻找处于被宣告主类的ip地址;
若本地接口地址属于被宣告主类,那么该接口被选中; 被选中接口存在两个规则;
- 激活--该接口可以收发rip 的更新信息
2、路由-该接口的信息可以被告知给本地邻居
[r1-rip-1]network 1.0.0.0
[r1-rip-1]network 172.16.0.0
[r1-rip-1]network 192.168.1.0
RIP的扩展配置:
- V2的手工认证 -- 在更新包中,携带一个共享秘钥;用于合适邻居的生成;华为设备在开启认证的同时,还可以将更新包整个加密传输;避免被第三人冒充或伪装,保障更新的安全性
在直连邻居的接口上配置
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
邻居间认证的模式、加密方式、秘钥完全一致;
- V2的手工汇总--在更新源路由器上,本地所有更新发出的接口上进行配置即可
[r2-GigabitEthernet0/0/0]int g0/0/1
[r2-GigabitEthernet0/0/1]rip summary-address 2.2.2.0 255.255.254.0
- 被动(沉默)接口--仅接收不发送路由协议信息,用于连接终端用户的接口,不得用于连接邻居路由器的接口,否则邻居间无法正常共享路由
[r1]rip
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
- 加快收敛 ---RIP计时器 30s更新 180s失效 300s刷新
通过修改计时器,提高协议的工作效率;修改时建议维持原有的倍数关系,且不易修改的过小
[r1]rip
[r1-rip-1]timers rip 30 180 300 修改时,建议全网一致
- 缺省路由
[r3]rip
[r3-rip-1]default-route originate 在内外之间的边界路由器上配置该命令后,将使得内部运行RIP协议的路由器,产生缺省路由指向边界路由器;但边界路由器上自身到达ISP的缺省路由,还需要管理员使用静态路由手写添加;
OSPF:开放式最短路径优先协议
无类别链路状态型路由协议;组播更新224.0.0.5、224.0.0.6支持等开销负载均衡;
链路状态协议,邻居间共享拓扑,优势在于防环和选路,缺点为更新量和计算量很大;
故OSPF为了能够在大型网络生成,设计了结构化部署规则---1、良好的地址规划
- 区域划分
触发更新,每30min一次周期更新;
【1】OSPF的5种数据包
hello包 --邻居、邻接关系的发现、建立、周期保活(10s)
DBD包 -- 数据库描述包 ---本地数据库目录
LSR包-- 链路状态请求 --用于询问本地未知的LSA信息
LSU包--链路状态更新 --- 用于共享具体的LSA信息
LSack包--链路状态确认
LSA--链路状态通告--具体的一条一条拓扑或者路由信息
【2】OSPF的状态机
Down 一旦接到到其他设备发出的hello包进入下一个状态
init初始化 一旦接收到的hello包中,本地我方RID进入下一状态
2way双向通讯 邻居关系建立的标志
条件:点到点直接进入下一状态;MA网络将进行DR/BDR选举(40S),非DR/BDR之间不能进入下一状态;
Exstart预启动 使用不携带数据库目录的DBD包,进行主从关系的选举,RID数值大的为主,优先进入下一个状态--其目的在于对DBD包进行排序,避免更新量同一时间的激增
exchange准交换 --- 使用DBD包进行数据库目录信息的交换
loadling加载 -- 基于接收的数据库目录和本地比对,然后基于本地未知的LSA信息,使用LSR进行查询,对端使用LSU来应答,需要本地最后ack确认--获取本地未知的LSA信息
full转发 --- 邻接(毗邻)关系建立的标志
【3】OSPF的工作过程
启动配置完成后,本地路由器开始收发ospf的hello包,建立邻居关系,生成邻居表;
之后与邻居表中所有邻居进行条件的匹配,匹配失败者间维持邻居关系,仅hello包周期保活即可;
匹配成功者间,将建立邻接关系;先使用类hello的DBD进行主从关系选举,之后使用DBD包进行数据库目录的共享;再使用LSR进行查询,LSU进行应答,ack确认;
---- 使用DBD/LSR/LSU/LSack来获取本地未知的LSA信息;
当本地的数据库与邻居的数据库一致时,同步完成--本地存在数据库表(LSDB链路状态数据库--所有LSA集合);
同步完成后,本地启动SFP算法,将数据库转换为有向图-->最短路径树;然后以本地为起点,到达所有未知网段的最短路径,加载于本地的路由表中;
收敛完成后,仅hello每10s周期保活邻居、邻接关系;再每1800s周期和邻接比对数据库;
结构的突变:
- 新增网段 -- 直连新增网段的设备,将直接使用LSU告知本地所有的邻接,再扩散到全网;需要邻接关系确认该更新包;
- 断开网段--直连断开网段的设备,将直接使用LSU告知本地所有的邻接,再扩散到全网;需要邻接关系确认该更新包;
- 无法沟通 --- 存在dead time ,默认为hello time的4倍;dead time到时时,将断开邻居关系,删除信息
【4】OSPF的基础配置
[r1]ospf 1 router-id 1.1.1.1 启动时可以定义进程号,仅具有本地意义;默认为1;建议同时定义该设备的RID -- 使用IPV4地址,全网唯一;手工配置--环回接口最大数值的ip地址---物理接口最大数值的ip地址 一旦RID生效,默认不能直接修改
[r1-ospf-1]
宣告:1、激活接口协议 2、共享接口信息 3、区域划分
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.65 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[r2-ospf-1]area 1
[r2-ospf-1-area-0.0.0.1]net
[r2-ospf-1-area-0.0.0.1]network 192.168.1.5 0.0.0.0
宣告时,使用反掩码精确的匹配
区域划分规则:
- 星型结构 中间为骨干区域,区域编号0;大于0为非骨干编号,所有非骨干区域必须连接骨干区域,否则无法正常收敛
- 必须存在ABR -- 区域边界路由器
宣告配置完成后,邻居间开始收发hello包,获取对端的RID,建立邻居关系,生成邻居表:
[r2]display ospf peer 查看邻居表-详细
[r2]display ospf peer brief 查看邻居关系简表
邻居关系建立后,邻居间进行条件的匹配;匹配失败,仅hello保活邻居关系即可;匹配成功者间,可建立邻接关系,基于DBD/LSR/LSU/LSack来获取本地未知的所有LSA信息;完整本地的数据库;
[r2]display ospf lsdb
当本地数据库同步完成后,本地启动SFP(最短路径优先算法),将数据库中所有的1/2类LSA整合为有向图,再生成最短路径树;然后以本地为起点计算到达本地所有未知网段的最短路径,将它们加载于本地的路由表中来完成收敛;
<r1>display ip routing-table protocol ospf
华为设备通过OSPF协议学习到的路由,正常其优先级为10;使用的度量为cost值;
cost值=开销值= 参考带宽/接口带宽
默认参考带宽为100兆;若接口带宽大于参考带宽,cost值为1;可能导致选路不佳,建议修改参考带宽
[r1]ospf 1
[r1-ospf-1]bandwidth-reference ?
INTEGER<1-2147483648> The reference bandwidth (Mbits/s)
[r1-ospf-1]bandwidth-reference 1000 若修改参考带宽,全网设备需要修改为一致
OSPF默认选择cost值之和最小的路径,为最佳路径来加载到路由表中;
【5】OSPF的扩展配置
- 从邻居关系建立成为邻接关系的条件
需要关注网络类型
点到点 --- 一个网段内只能存在两个节点--物理限制,无法添加第三个节点--串行链路(串线)
MA--多路访问 -- 在一个网段内节点的数量不限制,不由当下连接了几个节点来决定,而是该网络是否限制了连接数量来决定--以太网(RJ-45双绞线、光纤、同轴电缆、WIFI。。。)
在点到点网络中,所有邻居关系直接建立为邻接关系;
在MA网络中,若两两之间皆为邻接,那么将出现大量的重复更新,且ospf需要和邻接之间对比数据库,故不能像RIP协议一样,使用接口水平分割来规避;
最终OSPF协议在MA中进行DR/BDR选举来解决重复更新;
在一个网段,只有非DR/BDR路由器之间为邻居关系
选举规则:
先比较参选接口的优先级,0-255,大优;默认为1;若优先级相同,比较参选设备的RID,数值大优;
通过修改接口优先级,可以干涉选举
[r7]interface g0/0/0 在参选接口上配置
[r7-GigabitEthernet0/0/0]ospf dr-priority 2
该选举是非抢占性;因此在修改优先级后,需要手工重启所有参选设备的OSPF进程;
<r6>reset ospf process
Warning: The OSPF process will be reset. Continue? [Y/N]:y
建议将非DR/BDR的设备优先级修改为0,0代表不参选,不用重启进程;
切记:在一个ma网段,有且至少有一台参选,否则该网段无任何邻接关系;
2)认证 --- 邻居间使用共享秘钥核实身份,华为设备同时可以加密ospf信息
[r1]interface g0/0/1 在直连邻居的接口上配置
[r1-GigabitEthernet0/0/1]ospf authentication-mode md5 1 cipher 123456
模式 编号 加密 秘钥
要求邻居间模式、编号、秘钥、加密完全一致
- 汇总 --- OSPF不支持接口汇总,因为区域内部传递拓扑信息,不可能修改;区域之间传递的路由条目信息,可以进行汇总--- ospf支持区域汇总
[r2]ospf 1
[r2-ospf-1]area 0 该区域编号为,明细路由的来源区域
[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.1.64 255.255.255.192
- 沉默接口 -- 仅接收不发送路由协议信息,仅用于连接终端用户的接口,不得用于连接邻居的接口,否则邻居间无法收发hello,无法建立邻居关系
[r1]ospf 1
[r1-ospf-1]silent-interface GigabitEthernet 0/0/2
- 缺省路由 -- 在边界路由器上配置后,将内部所有运行OSPF协议的路由器发送缺省路由信息,使得内部所有运行ospf协议的路由,自动生成缺省路由,指向边界路由器方向
[r3]ospf 1
[r3-ospf-1]default-route-advertise always