LCP协商过程:
PPP认证一般是通过AAA管理框架完成。认证是双向的
认证方式:PAP,CHAP
PAP
密码认证协议----指一种明文认证方式
配置方法:
1.认证方
1,创建用户信息
[r1-aaa] local - user admin password cipher 123456
[r1-aaa] local - user admin service - type ppp
2,配置认证方式
[r1-Serial4/0/0] ppp authentication - mode pap
2. 被认证方:
[r2-Serial4/0/] ppp pap local - user admin password cipher 123456
PPP会话的建立是一次性会话,当第一次链路建立完成后,后续修改认证方式不会影响链路通讯
CHAP
挑战握手协议----该认证不再是传递明文信息,而是采用对比摘要值的方式进行认证。
认证过程
1.认证方先发送一个挑占战报文,里面包含的是认证方的用户名和一个随机值
2.被认证方接收到后,需要根据该用户名的信息在本地进行查找,找到其对应的密码,然后将密码和随机值一起进行 HASH 运算,得出摘要值。
3.然后被认证方将自己的用户名和该摘要值发送给认证方
4.认证方通过接受到的用户名找到对应密码,再将密码与自己本地产生的随机值,进行 HASH 运算,若所得到的摘要值与认证方发送的摘要值相同,则代表通过认证。
配置方法:
认证方:
1,创建用户信息
[r1-aaa] local - user admin password cipher 123456
[r1-aaa] local - user admin service - type ppp
2,配置认证方式
[r1-Serial4/0/0] ppp authentication - mode chap
被认证方:
[r2-Serial4/0/0] ppp chap user admin
[r2-Serial4/0/0] ppp chap password cipher 123456
一条PPP链路的俩端可以使用不同的认证协议认证对端,但是被认证方必须支持认真方要求使用的认证协议并正确配置用户名和密码等信息
网络层协议协商阶段---- NCP 协商
如果三层使用的是 IP 协议,则需要使用 IPCP 协议来协商其参数
协商内容:
1, IP 报文的压缩格式;2, IP 地址
一旦认可了对方发 IP 地址,则将会自动学习到达该地址的主机路由。
获取 IP 地址的配置
获取方:
[r1-Serial4/0/0] ip address ppp - negotiate
给予方:
[r2-Serial4/0/0] remote address 1.1.1.1
AAA方案
AAA是authentication(认证)、aurhorization(授权)和accounting(计费)的简称。主要是给网络接入服务器(NAS)提供一个访问控制的管理框架。
定义:AAA作为网络安全的一种管理机制,以模块化的方式提供认证、授权、计费服务。其中:
认证:确认访问用户的身份,判断访问者是否为合法的网络用户。
授权:对不同的用户赋予不同的权限,同时限制用户可以使用的服务。
计费:记录用户在网络中的所有活动,包括使用的服务类型、起始时间、数据流量等,用于收集用户对网络资源的使用情况,并且可以实现针对时间、流量的计费需求,也对网络起到监视作用。
目的:提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
基本架构:AAA采用客户端/服务端结构,AAA客户端运行在接入设备上,通常被称为NAS设备,负责验证用户身份与管理用户接入;AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。
AAA认证方案有三种:
不认证:对用户非常信任,不对用户进行合法性检查,一般情况下不采用这种方法,太不安全啦。
本地认证:让网络接入服务器设备作为认证服务器,将用户信息配置在该设备上。本地认证的优点是速度快,成本低。缺点是存储信息量受设备硬件条件限制。
远端认证:将用户信息配置在远端认证服务器上。有radius服务器和hwtacacs服务器可以作为远端认证服务器。
AAA授权方案有五种:
不授权:不对用户进行授权处理。
本地授权:在网络接入服务器上,根据设备上的用户信息进行授权。
if-authenticated授权:用户通过本地或远端认证,则授权通过,否则授权不通过。
HWTACACS授权:由HWTACACS服务器对用户进行授权。
radius授权:radius认证成功后授权,radius协议的认证与授权是绑定在一起的,不能单独使用。
授权方法的生效顺序:授权方案中可以指定一种或者多种授权方法。指定多种授权方法时,配置顺序决定了每种授权方法生效的顺序,配置在前的授权方法优先生效。当前面的授权方法无响应时,后面的授权方法才会启用。如果前面的授权方法回应授权失败,表示AAA服务器拒绝为用户提供服务。此时,授权结束,后面的授权方法不会被启用。
AAA计费方案:
不计费:不对用户进行计费。
远端计费:由认证服务器对用户进行计费。支持通过radius服务器或hwtacsca服务器进行远端计费。
GRE配置方法:
1,创建隧道接口
[r1]interface Tunnel 0/0/0
[г1-Tune10/0/0]
2,接口配置P地址
[r1-Tunnel0/0/0]ip adress 192.168.3.1 24
3.定义封装方式
[r1-Tunel0/0/0]tunel-protocol gre
4.定义封装内容
[r1-Tunel0/0/]source 12.0.0.1
[r1-Tunnel0/0/0]destination 23.0.0.2
GRE的问题 — 因为GRE搭建的是一个点到点的隧道,所以,导致其扩展性较差(当存在多个私网需要相互连接时,需要彼此之间都搭建GRE隧道才行)
MGRE — 多点通用路由封装技术
NHRP协议 — 下一跳解析协议 ---- 自动学习隧道地址和物理地址的对应关系的一种方法。
原理:需要在私网中选出一个物理接口不会发生变化的作为NHRP的中心(NHS — 下一跳服务器)。剩下的分支都需要知道中心的隧道IP和物理接口IP,他们需要将自己的物理接口IP和隧道IP发送给中心
(如果分支的物理接口的IP地址发生变化,则需要立即将对应关系重新发送)。这样,NHS将会收集所有分支的地址映射关系。之后需要通讯时,查看对应关系,封装对应的接口IP地址即可。分支之间需要进行通讯,则先将数据发给中心,由中心进行转发。
----- 这种中心站点到分支站点的架构 — HUB-SPOKE架构
因为MAGRE搭建的逻辑拓扑是一个多节点的网络,但是,发送信息时依然是点到点的发送,无法使用广播或者组播行为,所以,这样的网络我们可以称为NBMA网络。(他属于逻辑上搭建出的NBMA网络,真正意义上物理设备搭建出的NBMA网络是帧中继。)
MGRE的非shortcut配置过程
给中心站点进行配置(边界路由器出接口的公网IP地址不会发生变化的作为NHS,即中心站点)
[r1]int t 0/0/0 — 创建隧道接口
[r1-Tunnel0/0/0]ip address 192.168.5.1 24 — 配置隧道IP地址
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp — 选择封装类型 ---- 选择MGRE
[r1-Tunnel0/0/0]source 15.0.0.1 — 定义源IP地址
[r1-Tunnel0/0/0]nhrp network-id 100 — 创建NHRP域给分支站点进行配置(这里也可以不用配置,不配置是会采用华为的默认域)
[r2]int t 0/0/0
[r2-Tunnel0/0/0]ip address 192.168.5.2 24
[r2-Tunnel0/0/0]tunnel-protocol gre p2mp
[r2-Tunnel0/0/0]source GigabitEthernet 0/0/1 — 以接口作为封装源,以应对IP地址的变化
[r2-Tunnel0/0/0]nhrp network-id 100 — 加入NHRP域,必须是和中心站点创建相同的域
[r2-Tunnel0/0/0]nhrp entry 192.168.5.1(隧道地址) 15.0.0.1(物理接口地址) register —找中心站点进行注册
[r1]display nhrp peer all — 可以查看NHRP信息收集情况
通过RIP获取路由信息
1,中心站点可以收到分支的数据包,但是,分支不能收到中心站点的数据报 — MGRE环境下不支持广播或者组播行为 ---- 在中心站点开启伪广播 — 分别给所有节点发送单播以达到广播的效果
[r1-Tunnel0/0/0]nhrp entry multicast dynamic — 开启中心站点伪广播
2,开启伪广播后,分支站点只能收到中心站点的路由信息,却不能收到其他分支站点的路由信息。— RIP水平分割导致
[r1-Tunnel0/0/0]undo rip split-horizon — 关闭接口水平分割功能
GRE 封装和解封装报文的过程
1.设备从连接私网的接口接收到报文后,检查报文头部中出现的 IP 地址字段,并在路由表中查找出接口,如果发现出接口是隧道接口,则将报文发送给 tunnel 模块进行处理。
2.tunnel 模块接收到报文后,会首先根据乘客协议的类型和当前 GRE 隧道的配置来添加参数,并对报文进行 GRE 封装
3.然后,设备给报文添加传输协议报文头部,即 IP 报文头部。该 IP 头部信息的源 IP 地址是隧道源地址(不是隧道自身的 IP 地址),目的地址就是隧道的目的地址。
4.最后,设备根据新添加的 IP 报文头部中的目的 IP 地址,在路由表中查找对应的出接口,并发送报文。
5.接收端设备从连接公网的接口收到报文后,首先分析 IP 报文头部,如果发现协议类型字段的值为47
( GRE 的协议号),表示上层协议为 GRE 谢意,于是出接口将报文交给 GRE 模块处理。
6GRE 模块去掉 IP 报文头部和 GRE 头部,并根据 GRE 报文头部中的协议类型字段,发现此报文的乘客协议为私网中运行的 IP 协议,将该数据交给对应协议处理。
Keepalive 检测----用于检测隧道对端是否可达
[r1-Tunnel0/0/0] keepalive period 2 retry - times 5(设置发送周期为2s;重传次数为5次)。
1.如果本端隧道配置了 keepalive 检测功能, GRE 隧道会创建一个计时器,并周期性的发送探测报文,同时进行不可达计数。
2.每发送一个探测报文,不可达计数+1
3.如果该计数器到达预先设定的值之前收到回应报文,则表明对端可达。
4.如果计时器值达到预先设定的重传此处,还未收到对端的回应报文,则认为对端不可达。关闭隧道连接。
keepalive 是不需要双方均进行配置的,仅配置一端即可进行检查。
DSVPN----华为
DSVPN 专门为了 Hub - Spoke 架构诞生服务。
通过总部中转流量会导致下述问题
1、总部在中转分支之间的数据流量时,会消耗总部 hub 设备的 cpu 和内存资源,造成资源紧张
2、总部需要对分支之间的数据流量进行封装和解封装,造成额外的网络延时
3、 IPSec 协议不支持广播报文和组播报文。
DSVPN 通过 NHRP 协议动态收集、维护和发布各节点的公网地址等信息,解决了源分支无法获取目的分支的公网 IP 地址的问题,从而可以在分支和分支之间直接建立一条动态的 VPN 隧道,实现分支和分支之间的直接通讯,减轻总部的设备负担。
DSVPN 借助 MGRE 技术,使 VPN 隧道能够传输组播报文和广播报文,并且一个 tunnel 接口可以跟多个对端建立 VPN 隧道,减少网络管理员的配置量。并且,在新增分支或者分支地址变化的情况下,能够自动维护总部和分支之间的隧道关系,而不需要调整任何配置。
DSVPN 概念
当源 spoke 需要向目的 spoke 发送数据报文时,
源 spoke 通过与 hub 节点的静态 mgre 隧道交互 NHRP 协议报文获取目的 spoke 节点的公网地址,并且与目的 Spoke 节点建立动态 mgre 隧道。
mgre 隧道
静态 mgre----建立在 hub 到 spoke ,并且永久存在
动态 mgre ----建立在 spoke 到 spoke ,在一定周期内没有流量转发时将自动拆除
NHRP 映射表
1.静态表项
2.动态表项
3.老化时间﹣-7200s
NHRP 映射表建立过程
1.建立 spoke 和 hub 之间的 MGRE 隧道
2.分支学习路由
1.shortcut方式﹣-﹣快捷方式
.分支路由全部汇聚到总部
. spoke 节点只需要存放到达 hub 节点的路由即可.一般应用在网络规模较大、分支节点较多的场景。
2.非 shortcut 方式﹣--﹣非快捷方式
.分支间相互学习路由
.每一个分支节点都需要学习到所有对端的控制层面的数据。
.一般应用在网络规模较小,路由信息量少的网络中
3.建立 spoke 和 spoke 之间的 MGRE 隧道
1. shortcut 方式
2.非 shortcut 方式
[r1-Tunnel0/0/0] nhrp redirect //在 hub 设备上配置----使能 nhrp 重定向报文
[r4-Tunnel0/0/0] nhrp shortcut //在 spoke 设备上配置----开启 spoke 设备的 nhrp 重定向请求报文
RIP环境下MGRE
[r1-Tunnel0/0/0]nhrp entry multicast dynamic //开启伪广播功能
[r1-Tunnel0/0/0] undo rip split - horizon //关闭 rip 水平分割-----非 shortcut
[r1-Tunnel0/0/0] rip summary - address 192.168.0.0255.255.248.0 // shortcut
OSPF----开放式路径最短优先协议
OSPF---基础
RIPV2和OSPFV2的异同点:
相同点:
1,RIPV2和OSPFV2一样,都是无类别的路由协议(传递路由信息的时候携带真实掩码),都支持VLSM和CIDR。
2,OSPFV2和RIPV2(224.0.0.9)都是以组播的形式传递信息。 ---- 224.0.0.5/224.0.0.6
3,OSPFV2和RIPV2都支持等开销负载均衡。
不同点:
OSPF和RIP不同,RIP要求仅适用于中小型的网络环境中,OSPF可以应用于中大型的网络环境中
OSPF区域划分 --- 结构化部署(区域ID:32bit)
区域划分的主要目的:区域内部传递拓扑信息,区域之间传递路由信息 --- 链路状态型协议的距离矢量特征
区域边界路由器(ABR) --- 同时属于多个区域,一个接口对应一个区域,必须有一个接口在区域0。
区域之间可以存在多个ABR设备,一个ABR可以对应多个区域
区域划分的要求:
1,区域之间必须存在ABR;
2,区域划分必须遵循星型拓扑结构 --- 星型拓扑的中间区域称为骨干区域
OSPF 规定:从非骨干区域收到的路由信息, ABR 能接收,但不会使用这条路由信息( OSPF 水平分割原则)。
总结一下 OSPF 有如下规则:
1、对于伪 ABR 设备不允许转发区域间路由信息。
2、对于真实 ABR 而言
能够将自己直连的非骨干区域的区域内路由信息传递给骨干区域。
能够将自己直连的骨干区域的区域内路由信息传递给非骨干区域。
能够将自己从骨干区域学习到的区域间路由信息传递给费骨干区域。
OSPF的数据包类型
Hello包 --- 周期发现,建立和保活邻居关系
hello的周期发送时间默认为 10s --- hello时间。
失效判断的默认时间为4倍的hello时间 --- 40S ---- 死亡时间(dead time)
OSPF为了区分和标定不同的路由器,给每个路由器设立了一个
RID --- 1,全网唯一;2,格式统一 --- 统一按照IP地址的格式 ---- 32位二进制构成
RID的获取方法有两种
1,手工配置 --- 仅需满足以上两点要求即可
2,自动获取 --- 路由器会先在自己的环回接口的IP地址中选择最大的IP地址作为RID;如果,路由器不存在环回接口,则将在自己物理接口的IP地址中选择最大的作为RID;
DBD包 --- 数据库描述报文 ---- 携带的时路径信息的摘要(为了减少更新量,并不会直接发送TOPO信息,而是发送目录)
LSR包 --- 链路状态请求报文 --- 根据DBD包的比对,基于本地未知的LSA信息发出请求
LSA --- 链路状态通告
LSU包 --- 链路状态更新报文 --- 真正携带LSA信息的数据包
LSACK包 --- 链路状态确认报文 --- 确认包
OSPF存在每30MIN一次的周期更新
OSPF----状态机
down状态 --- 启动ospf,发出Hello包之后进入下一个状态
init(初始化)状态 --- 收到hello包中携带自己本地的RID,进入下一 个状态
two-way(双向通讯)状态 --- 标志邻居关系的建立
(条件匹配)条件匹配成功,则进入下一个状态;否则,将停留在邻居状态,仅发送hello包周期保活
exstart(预启动)状态 --- 使用未携带数据的DBD包进行主从关系选举,RID大的为主,优先进入下一个状态
exchange(准交换)状态 --- 使用携带目录信息的DBD包进行目录共享
loading(加载)状态 --- 基于DBD包中的未知的LSA信息,使用LSR包进行请求,邻居使用LSU包回复,需要LSACK进行确认
FULL状态 --- 标志着邻接关系的建立
条件匹配
指定路由器 --- DR --- 和MA网络中其他所有设备建立邻接关系
备份指定路由器 - BDR - 和MA网络中其他所有设备建立邻接关系
在DR和BDR都存在的情况下,一个MA网络中至少需要四台设备才能看到邻居关系。
DR和BDR虽然叫做指定路由器(备份指定路由器),但其工作范围在个MA网络之中,所以,其实质是接口的概念。
条件匹配 --- 在MA网络中,若所有设备均为邻接关系,则将出现大量的重复更新,所以,需要进行DR/BDR的选举,所有非DR/BDR (DROther)之间仅维持邻居关系即可。
DR/DR的选举 --- 1,比较接口的优先级,优先级最大的为DR,次大的为BDR,
优先级的初始默认值为1。
[r1-GigabitEthernet0/0/0]ospf dr-priority ?
INTEGER<0-25> Router priority value 如果将一个接口的优先级修改为0,则代表 该接口放弃DR/BDR的选举。
当优先级相同时,则比较RID。 RID大的路由器对应的接口为DR,次大的为BDR.
DR/BDR的选举 --- 非占模式的选举 --- 选举时间等同于死亡时间
<rl>rest ospf 1 poces ——重启OSPF进程
OSPF的数据包
SPF的协议号—89
版本—-— OSPF协议的版本—— OSPFv2)版本字段为2。
类型-— OSPF数据包的类型
Hello --- 1
DBD -- 2
LSR -- 3
LSU -- 4
LSACK -- 5
报文长度 --- 整个OSPF数据报文的长度,单位字节。
RID --- 表示裁出之介数居包的路由器的RID
区域ID --- 发出数据包的接口所在的区域的ID
认证类型和认证数据 --- OSPF在进行认证时,需要先比对认证类型,认证类型相同才比对认证数据。
认证类型 --- null --- 空认证 --- 0
--- simple --- 明文认证 --- 1
--- MD5 --- 比对摘要值认证 --- 2
hello包 --- 周期发现,建立以及保活邻居关系。-— DR/BDR选举也使用的是hello包
网络掩码 --- 发出hello包接口的ip地址对应的掩码信息 --- 华为设备设定邻居建立双方要求子网掩码必须相同,否则将无法建立邻居关系(对P2P网络不生效)
hello时间和死亡时间 --- 邻居双方helo时间和死亡时间必须相同,否则将导致邻居关系建立失败。
可选项—-—8位,8个标记位,每一个标记位置1,则代表其符合OSPF的某种特性。
其中存在ospf特殊区域的标记位,邻居双方如果特殊区域的标记位不同,则将无法正常建立邻居关系。
路由器的优先级 --- 发出该数据包的接口其DR/BDR选举时的优先级。
指定路由器和备份指定路由 --- 携带的是DR/BDR接口的IP地址。--- 在DR/BDR没有选出来之前,使用0.0.0.0来进行填充。
邻居 --- 本地已知的邻居的RID。
helo包中限制邻居关系建立的参数
1,子网掩码
2, hello时间
3, dead时间
4,ospf特殊区域的标记
5,认证
515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
