内容较多,但是很重要,需要细品。
第七天
RIP的拓展配置
1,RIPV2的手工认证
[r1-GigabitEthernet0/0/o]rip authentication-mode md5 usual cipher 123456
[r1]display rip 1 route ---查看RIP进程的路由信息
2,RIPV2的手工汇总
[r1-GigabitEthernet0/o/o]rip summary-address 192.168.0.0 255.255.252.0
3,沉默接口
如果将一个接口配置称为沉默接口,则这个接口将只接受不发送RIP的数据包
[r1-rip-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛---减少计时器时间
[r1-rip-1]timers rip 30 180 120---修改三个计时器时,彼此之间的倍数关系不要修改
5,缺省路由
[r3-rip-1]default-route originate---在边界设备上配置,可以使所有内网路由器自动生成一条指向边界的缺省路由
选路佳,收敛快,占用资源少
1,因为OSPF是链路状态行协议,所以,他计算出的路径信息不存在环路,并且,OSPF是以带宽作为开销的依据进行选路的,比RIP更合理一些。所以,从选路的角度,OSPF优于RIP
2,ospf协议的计时时间短于RIP,所以,OSPF从收敛的角度来看,也优于RIP。
3,从单个数据包的角度分析,RIP的资源占用量远小于OSPF,但是,从整体的角度来分析,RIP存在30S一次的周期更新,而OSPF并不存在像RIP一个高频的周期更新,并且,OSPF设计就提出了很多减少资源占用的措施,所以,从整体的角度来看,OSPF小优于RIP。
OSPF---开放式最短路径优先协议
OSPF和RIP的相同点:
RIP ---RIPV1,RIPV2---IPV4
RIPNG ---IPV6
Ospf---OSPFV1(在实验室阶段夭折),OSPFV2---IPV4
OSPFV3 ---|PV6
RIPV2和OSPFV2的相同点:
1,OSPFV2和RIPV2一样,都是无类别的路由协议。
2,OSPFV2 (224.0.0.5和224.0.0.6)和RIPV2(224.0.0.9)一样,都是以组播的形式发送信息。
3,OSPFV2和RIPV2一样,都支持等开销负载均衡。
不同点---RIP只能应用在小型网络当中,而OSPF可以应用在中大型网络环境中---结构化部署---区域划分
区域划分的主要目的---区域内部传递拓扑信息,区域之间传递路由信息。
区域边界路由器--ABR---同时属于多个区域,一个接口对应一个OSPF的区域,且至少有一个接口属于骨干区域
区域之间可以存在多个ABR设备,一个ABR设备也可以对应多个区域区域划分要求:1,区域之间必须存在ABR设备
2,区域划分必须按照星型拓扑结构划分----星型拓扑结构中间区域称为骨干区域。
为了方便对OSPF的区域进行管理,我们会给每一个区域设置一个区域ID---arealD---其本质由32位二进制构成
1,点分十进制;2,十进制----骨干区域的区域ID必须为0。
区域划分依靠网络情况而定,如果一个网络规模较小,可以不用进行区域划分,则这样的网络我们称为单区域OSPF网络。如果一个网络规模比较大,需要进行区域划分,则这样的网络我们称为多区域OSPF网络
———————————————————————————————————————————
第八天
1,OSPF的数据包
Hello包---周期发现,建立和保活邻居关系。
hello时间---默认10S(30S)
Dead time 4倍的hello时间
在OSPF中,我们需要对每台路由器设计一个身份标识---RID。
1,全网(整个OSPF网络)唯一
2,格式统一---要求必须按照IP地址的格式来配置。
手工配置---只需要满足以上两点要求即可自动生成
1,如果设备具备环回接口,则将在环回接口的IP地址中选择数值最大的作为RID。
2,如果没有环回接口,则将在物理接口中选择IP地址数值最大的作为RID。
HELLO包中将会携带RID。
DBD包---数据库描述报文---LSDB---链路状态数据库---存放 LSA信息的数据库
LSR包---链路状态请求报文---基于未知的LSA信息进行请求
LSU包----链路状态更新报文---真正携带LSA信息的数据报
LSACK包-链路状态确认报文--确认包
OSPF存在每30MIN一次的周期更新
2,OSPF的状态机
主从关系选举---通过使用未携带数据的DBD包(主要目的是为了和之前的邻居关系进行区分)比较RID进行主从关系选举,为主的可以优先进入到下一个状态。
DBD包之间使用隐形确认的方法进行确认,而不是直接通过LASCK进行显性确认。
FULL状态---标志着邻接关系的建立。---只有邻接关系可以交换LSA信息,而邻居关系只能通过Hello包进行周期保活。
DOWN状态---启动OSPF进程,发送hello包之后进入到下一个状态
INIT (初始化)状态---收到hello包中包含本地的RID,则将进入到下一个状态
TWO-WAY(双向通讯)状态---标志着邻居关系的建立(条件匹配)---条件匹配成功,则将进入到下一个状态;如果失败,则将停留在邻居关系,仅使用Hello包进行周期保活。
Exstart(预启动)状态----使用未携带数据的DBD包进行主从关系选举,为主的可以优先进入到下一个状态
Exchange(准交换)状态---使用携带数据库摘要信息的DBD包进行数据库目录共享
Loading(加载)状态, 基于DBD包,通过LSR/LSU/LSACK来获取本地未知的LSA信息
FULL状态---标志着邻接关系的建立
3,OSPF的工作过程
启动OSPF进程配置完成后,OSPF会向本地所有运行协议的接口以组播224.0.0.5的形式发送hello包;
hello包中将会携带自己本地的RID以及本地已知邻居的RID。之后,将建立好的邻居关系记录在一张表中---邻居表。
邻居关系建立后将进行条件匹配;失败则将停留在邻居关系,仅使用Hello包保活。
匹配成功,则将开始建立邻接关系。首先,使用未携带数据的DBD包进行主从关系选举。之后使用携带数据的DBD包进行数据库目录的共享之后,本地使用LSR/LSU/LSACK获取本地未知的LSA信息。
将完成本地数据库的建立---LSDB,生成数据库表。最后,将基于本地的链路状态数据库生成有向图,之后基于有向图使用PF算法计算出最短路径树,根据最短路径树,生成本地到达未知网段的路由信息---路由表。
收敛完成后,OSPF依然每隔hello时间发送hello包进行周期保活。每隔30MIN进行一次周期更新。
结构突变:
1,突然增加一个网段:触发更新,将变更信息第一时间通过Lsu包发送出去,需要ACK确认。
2,突然减少一个网段:触发更新,将变更信息第一时间通过LSU包发送出去,需要ACK确认
。
3,无法通信--- dead time
4,OSPF的基本配置
1,启动OSPF进程
[r1]ospf 1 router-id1.1.1.1 --1--进程号,仅具有本地意义
[r1-ospf-1]
2,创建区域
[r1-ospf-1]area 0
[r1-ospf-1-area-0.0.0.0]
3,宣告
[r1-ospf-1-area-0.0.0.0]network 1.1.1.00.0.0.255--反掩码:由连续的0和连续的1组成,0对应的数字是不可变的,1对应的数字是可变的。
[r1]display ospf peer ---查看OSPF邻居表
[r1]display ospf peer brief --查看邻居表简表
[r1]display ospf lsdb ---查看数据库表
[r1]display ospflsdb router 2.2.2.2---查看单条LSA的内容
华为设备中OSPF协议的路由条目的优先级默认设置为10。COST=参考带宽/真实带宽----华为设备默认情况下,参考带宽为100Mbps
[r1-ospf-1]bandwidth-reference1000---修改参考带宽---如果有一台设备修改了参考带宽,则整个OSPF网络中所有的设备都需要修改成相同的参考带宽。
条件匹配:
指定路由器---DR---和广播域内剩余所有设备建立邻接关系
备份指定路由器---BDR---和广播域内剩余所有设备建立邻接关系,这样在DR设备出现故障时可以第一时间代替DR设备
1,一个广播域内,在DR和BDR都存在的情况下,至少需要四台设备,才能看到邻居关系。
2,DR和BDR并不是路由器的概念,而是接口的概念条件匹配---在一个广播域中,如果所有设备之间均为邻接关系,则将可能出现大量的重复更新,所以需要进行DR/BDR的选举,所有DR/BDR设备之间仅维持邻居关系即可。
DR/BDR的选举
1,先比较优先级,优先级最高的为DR,优先级次高的为BDR。
华为设备,默认情况下,优先级为1。
[r1-GigabitEthernet0/0/0]ospf dr-priority?---修改接口优先级INTEGER<0-255> Router priority value(优先级大的选举为老大)
如果将一个接口的优先级设置为0,则将代表这个接口将放弃DR/BDR的选举。
2,如果优先级相同,则比较RID,RID大的路由器所对应的接口为DR,次大的为BDR。
DR/BDR的选举是非抢占模式的----选举时间等同于死亡时间。
修改路由器优先级后需要重启进程
<r1>reset ospf 1 process
5,拓展配置
1,手工认证
[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1cipher123456 ---keyID,两边配置KEYID需要相同
2,手工汇总---区域汇总 -- [r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0255.255.252.0
3,沉默接口--只接受不发送 --- [r1-ospf-1]silent-interface GigabitEthernet 0/0/1
4,加快收敛---减少计时器时间 --- [r1-GigabitEthernet0/0/0]ospf timer hello 5 --- hello时间一旦修改,则死亡时间将自动按照4倍关系进行匹配
注意:;邻居之间的Hello时间和死亡时间必须相同,否则将导致邻居关系建立失败
[r1-GigabitEthernet0/0/0]ospf timer dead?-修改死亡时间,死亡时间修改不会影响hello时间
INTEGER<1-235926000> Second(s)
5,缺省路由
[r3-ospf-1]default-route-advertise ---在边界路由器上配置,之后将自动下发指向边界的缺省路由----要求,边界路由器上必须得先存在缺省路由
[r3-ospf-1]default-route-advertise always ---强制下发缺省
ACL---访问控制列表
ACL访问控制列表的作用:
1,访问控制:在路由器流量流入或者流出的接口上,匹配流量,之后执行设定好的动作。
(permit---允许,deny --拒绝)
2,抓取感兴趣流:ACL可以和其他服务结合使用,ACL只负责抓取流量,其他服务负责执行相应的处理。
ACL的匹配规则---自上而下,逐一匹配,一旦匹配上则将按照对应的动作来执行,而不再向下匹配。
思科体系---ACL访问控制列表末尾隐含了一条拒绝所有的规则。
华为体系---对匹配不上的流量不做额外处理。
ACL的分类---
基本ACL:匹配流量时,仅关注数据包中的源IP地址。高级ACL:匹配流量时,不仅关注数据包中的源IP地址,还关注数据包中的目标IP地址。以及协议和端口号
二层ACL
用户自定义ACL
需求1: 要求PC1可以访问3.0网段,但是PC2不行
基本ACL配置位置原则--因为基本ACL只关注数据包中的源IP,所以:肯能导致误伤,所以,在配置的时候,应该尽可能的靠近目标。
1,创建ACL访问控制列表
[r2]acl ?
INTEGER<2000-2999> Basic access-list(add to current usingrules)---基本ACL
INTEGER<3000-3999> Advanced access-list(add to current usingrules)---高级ACL
INTEGER<4000-4999> Specify a L2 acl group ---二层ACL
ipv6 ACL IPv6
name Specify a named ACL
number Specify a numbered ACL
[r2]ac| 2000
[r2-acl-basic-2000]
2,给ACL列表中添加匹配规则
[r2-acl-basic-2ooo]rule deny source 192.168.1.3 0.0.0.0---通配符:1代表可以变,0代表不可变
[r2-acl-basic-2000]rule permit source any ----允许所有
[r2-acl-basic-2000]display ac|2000---查看ACL列表
华为设备默认以5为步调自动添加规则序号,为了使插入和删除规则更加方便
[r2-acl-basic-2000]rule 8 deny source 192.168.1.2 0.0.0.0
[r2-acl-basic-2000]undo rule 8
3,接口调用ACL列表
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000切记---一个接口的一个方向只能调用一张ACL列表
需求二:要求PC1可以ping通PC3,但是不能ping通PC4
高级ACL列表的位置匹配规则---因为高级ACL列表进行了精确匹配,所以,不会出现误伤,在调用的时候应该尽量靠近源,减少资源的占用。
[r1]acl name xuqiu2 3000---通过重命名的方式创建ACL列表
[r1-acl-adv-xuqiu2]rule denyicmp source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2 ---通过名称进行调用
需求三:要求PC1可以Ping通R2,但是不能telnetR2
[r1]acl name xuqiu3 3001
[r1-acl-adv-3001]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2
.2 0.0.0.0 destination-port eq 23
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu3 ---通过名称进行调用