实施华为设备的OSPF以及ACL的案例

最新推荐文章于 2023-05-17 20:22:57 发布
最新推荐文章于 2023-05-17 20:22:57 发布
阅读量1k 收藏 1
点赞数
文章标签: 数据库 面试 网络
原文链接:http://blog.51cto.com/enderjoe/2048523
版权

好消息
a.HCIE 6连过(面试哦)
b.周六HCNP上新一轮课
c.HCNA真题-->HCNP的真题讲解预告(怎么考、在哪考、考什么、为什么)

今晚HCNA课程内容(越来越综合,越来越实用哦)
拓扑如下:
实施华为设备的OSPF以及ACL的案例
1.重要的网络常用的OSPF协议
R1和R2之间模拟专线(向运营商去购买的服务)
动态路由协议最排错思路:1)是否有邻居 2)是否存在于数据库中 3)是否存在于路由表中,最后拿数据去测试ping(telnet)
即使这个网络存在RIP/静态路由也没有问题,是由于OSPF的优先级(域内)优于静态和RIP
OSPF也是专业网络公司的最常见的面试题
OSPF相对RIP高级很多、快速很多
链路状态的IGP协议,可以用于企业网和运营商或者IDC。可以划分区域
1.1 基本配置
ospf 1 router-id 2.2.2.2 //创建OSPF进程1,RID为2.2.2.2(RID代表运行OSPF的某个设备标识,IPv4形式)
area 0.0.0.0 //创建区域0
[R2-ospf-1]int g0/0/0 //进入接口
[R2-GigabitEthernet0/0/0]ospf enable area 0 //该接口开启了OSPF,被放入了OSPF的区域0;同时该接口的信息被放入OSPF的数据库,让其他学到路由。该命令=network x.x.x.x y.y.y.y
[R2]display ospf int

     OSPF Process 1 with Router ID 2.2.2.2
             Interfaces

Area: 0.0.0.0 (MPLS TE not enabled)
IP Address Type State Cost Pri DR BDR
202.100.1.2 Broadcast DR 1 1 202.100.1.2 0.0.0.0
10.1.5.1 Broadcast Waiting 1 1 0.0.0.0 0.0.0.0
10.1.6.1 Broadcast Waiting 1 1 0.0.0.0 0.0.0.0
邻居的另外一种配置方式:
[R1]ospf router-id 0.0.1.1
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 202.100.1.0 ?
IP_ADDR<X.X.X.X> OSPF wild card bits //掩码是255.255.255.252(11111100-252)-通配符掩码-》0.0.0.3(00000011)
[R1-ospf-1-area-0.0.0.0]network 202.100.1.0 0.0.0.3 //在进程下某个范围内的设备启动OSPF并通告
[R1-ospf-1-area-0.0.0.0]int g0/0/1.10
[R1-GigabitEthernet0/0/1.10]ospf enable a 0 //接口直接运行OSPF并通告该直连到OSPF数据库
[R1-GigabitEthernet0/0/1.10]int g0/0/1.20
[R1-GigabitEthernet0/0/1.20]ospf enable a 0
[R1-ospf-1-area-0.0.0.0]
1.2 邻居状态机
2.如下:
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[0]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=HelloReceived, NeighborPreviousState=Down, NeighborCurrentState=Init)
[R1-ospf-1-area-0.0.0.0]
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[1]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=2WayReceived, NeighborPreviousState=Init, NeighborCurrentState=2Way)
[R1-ospf-1-area-0.0.0.0]
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[2]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=AdjOk?, NeighborPreviousState=2Way, NeighborCurrentState=ExStart)
[R1-ospf-1-area-0.0.0.0]
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[3]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=NegotiationDone, NeighborPreviousState=ExStart, NeighborCurrentState=Exchange)
[R1-ospf-1-area-0.0.0.0]
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[4]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=ExchangeDone, NeighborPreviousState=Exchange, NeighborCurrentState=Loading)
[R1-ospf-1-area-0.0.0.0]
Dec 7 2017 19:58:44-08:00 R1 %%01OSPF/4/NBR_CHANGE_E(l)[5]:Neighbor changes event: neighbor status changed. (ProcessId=256, NeighborAddress=2.1.100.202, NeighborEvent=LoadingDone, NeighborPreviousState=Loading, NeighborCurrentState=Full)
1.3 验证
.[R1-ospf-1-area-0.0.0.0]dis ospf peer bri //查看OSPF的邻居关系

     OSPF Process 1 with Router ID 0.0.1.1
              Peer Statistic Information

Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full
<R2>display ospf lsdb //OSPF的数据库的简要信息(NP着重讲)

     OSPF Process 1 with Router ID 2.2.2.2
             Link State Database 

                     Area: 0.0.0.0

Type LinkState ID AdvRouter Age Len Sequence Metric
Router 2.2.2.2 2.2.2.2 295 60 80000009 1
Router 0.0.1.1 0.0.1.1 55 60 80000007 1
Network 202.100.1.2 2.2.2.2 295 32 80000002 0
<R2>dis ip routing-table protocol ospf //通过OSPF得到的路由
Route Flags: R - relay, D - download to fib

Public routing table : OSPF
Destinations : 2 Routes : 2

OSPF routing table status : <Active>
Destinations : 2 Routes : 2

Destination/Mask Proto Pre Cost Flags NextHop Interface

  10.1.10.0/27  OSPF    10   2           D   202.100.1.1     GigabitEthernet0/0/0
  10.1.20.0/27  OSPF    10   2           D   202.100.1.1     GigabitEthernet0/0/0

注意:VRP实施接口下的OSPF的前提是必须在进程下创建区域!!否则VRP
做过的内容:1.接口确实运行了OSPF 区域0 2.确实存在区域0.在HCNP中一个重要的话题就是OSPF邻居的排错
[SW6]display ospf error //广播类型的OSPF要求掩码一致
验证终端到终端通信的前提是网关到网关可以和通信
PC>ping 10.1.20.1

Ping 10.1.20.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 10.1.20.1: bytes=32 seq=2 ttl=125 time=109 ms
From 10.1.20.1: bytes=32 seq=3 ttl=125 time=109 ms
From 10.1.20.1: bytes=32 seq=4 ttl=125 time=249 ms
From 10.1.20.1: bytes=32 seq=5 ttl=125 time=109 ms

--- 10.1.20.1 ping statistics ---
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 0/144/249 ms
在NA中对OSPF的配置,懂得接口和进程去配置基本的OSPF区域0,能够通过OSPF得到路由,使得全网可以通信!
<R1>display ip routing-table protocol ospf
Route Flags: R - relay, D - download to fib

Public routing table : OSPF
Destinations : 4 Routes : 4

OSPF routing table status : <Active>
Destinations : 4 Routes : 4

Destination/Mask Proto Pre Cost Flags NextHop Interface

   10.1.5.0/28  OSPF    10   2           D   202.100.1.2     GigabitEthernet0/0/0
   10.1.6.0/28  OSPF    10   2           D   202.100.1.2     GigabitEthernet0/0/0
  10.1.30.0/28  OSPF    10   3           D   202.100.1.2     GigabitEthernet0/0/0
  10.1.40.0/28  OSPF    10   3           D   202.100.1.2     GigabitEthernet0/0/0

OSPF routing table status : <Inactive>
Destinations : 0 Routes : 0

2.重要的ACL在网络中的实施
概述:
access control list(访问控制列表)
说你行你就行,不行也行
说你不行你就不行,行也不行
基本的防火墙
通配符:
/27:最后一个八位组11100000--通配符掩码-->00011111--2进程变成10进制-->31
acl number 2000 //定义规则
rule 5 permit source 10.1.10.0 0.0.0.31 //允许来自10.1.10.0/27这个范围内的设备来访问
rule 10 deny //其他网络拒绝本设备的VTY
user-interface vty 0 4
acl 2000 inbound //应用ACL到VTY下
[R1-acl-basic-2000]dis acl all //验证访问控制列表
Total quantity of nonempty ACL number is 1

Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 permit source 10.1.10.0 0.0.0.31
rule 10 deny (2 matches)
ACL可以用到哪里:1)VTY来控制远程访问(对数据转发的控制)
user-interface vty 0 4
acl 2000 inbound
2)用在转发接口下(对数据转发的控制)
interface GigabitEthernet0/0/1.10
dot1q termination vid 10
ip address 10.1.10.30 255.255.255.224
traffic-filter inbound acl 2000 //用在转发接口下默认运行通过
3)用于路由策略来匹配理由
4)用在NAT中来匹配流量(easy IP)

5)用在IPSEC ×××中来充当SPD

6)可以用于QoS来匹配流量
ACL分类:1)基本的ACL,匹配整个协议栈,同时只能匹配源,不能批匹配目的
2)高级ACL,匹配不同的协议栈(IP\TCP\UDP\ICMP\IGMP)也能匹配源目IP,源目端口,标识符、分片等等
3)2层的ACL

ACL的顺序问题:1)RULE关键字,数值越小越优先匹配,越精准越要放到靠前的位置
acl number 2000
rule 1 deny source 10.1.0.0 0.0.255.255
rule 5 permit source 10.1.10.0 0.0.0.31
rule 10 deny
#
问题:10.1.10.1--10.1.20.1通信?
2)大部分情况下ACL最后一行隐含拒绝所有
[R1-acl-basic-2000]undo rule 10
acl number 2000
rule 5 permit source 10.1.10.0 0.0.0.31
但是华为设备用于接口下对流量的过滤,默认允许所有
[R1-GigabitEthernet0/0/1.20]traffic-filter inbound acl 2000
请问10.1.20.1-->202.100.1.2通信

0 不
1 能

通配符掩码:0代表固定不变化,1代表变化
acl name ××× 3999
rule 5 permit tcp source 202.100.1.2 0 destination-port eq telnet
rule 10 deny ip
[R1-ui-vty0-4]acl 3999 inbound
<R2>telnet 202.100.1.1 //成功的例子
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 ...
Connected to 202.100.1.1 ...

Login authentication

<R2>telnet -a 10.1.5.1 202.100.1.1 //因为源IP改变了,所以不能成功
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 ...
[R1-ui-vty0-4]dis acl name ×××
Advanced ACL ××× 3999, 2 rules
Acl's step is 5
rule 5 permit tcp source 202.100.1.2 0 destination-port eq telnet (1 matches)
rule 10 deny ip (2 matches)
Password:
作业:
1.用OSPF使得全网通信
2.使用数据过滤,VLAN10是一个财务服务器的VLAN,仅仅允许VLAN30访问
interface GigabitEthernet0/0/1.10
traffic-filter outbound acl name CAIWU
[R1]dis acl name CAIWU
Advanced ACL CAIWU 3998, 2 rules
Acl's step is 5
rule 10 permit ip source 10.1.30.0 0.0.0.15 destination 10.1.10.0 0.0.0.31 (5 matches)
rule 20 deny ip (10 matches)
下节课预告:NAT(ACL)、PPPoE、IPSEC ×××
3.重要的企业网接入互联网(NAT)

对华为来讲:1.实验大量去做-->验证理论 2.面试-->模拟面试

转载于:https://blog.51cto.com/enderjoe/2048523

weixin_34029949
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSPF中使用基本ACL过滤路由信息示例
hey1616的博客
12-04 1234
ACL的基本原理、ACL的组成、ACL的实现方式
华为OSPF
小孙的博客
07-13 945
AR1 system-view sysname r1 int loopBack 1 [r1-LoopBack1]ip add 192.168.1.65 26 [r1-LoopBack1]q [r1]int GigabitEthernet 0/0/0 [r1-GigabitEthernet0/0/0]ip address 192.168.1.1 29AR2system-view [Huawei]sysname r2 [r2]int LoopBack
OSPF的工作过程和ACL匹配规则
weixin_71169037的博客
06-16 1053
OSPF的工作过程以及ACL的匹配规则和一些基本需求
HCIA中的经典静态路由综合实验
Acloasia的博客
07-14 922
实验拓扑图: 实验要求: 1 除R5的环回地址固定以外,整个其他所有网段基于192.168.1.0/24进行合理的IP地址划分; 2 R1-R4每个路由器存在两个环回接口,用于模拟连接pc网段﹔地址也在192.168.1.0/24这个网络范围内; 3 R1-R4上不能直接编写到达5.5.5.0/24的静态路由,但依然可以访问; 4全网可达,尽量减少每台路由器,路由表条目数量,避免环路出现; 5 R4与R5间,正常1000M链路通信,故障时自动改为100M。 ...
彻底澄清子网掩码、反掩码、通配符掩码以及ospf network命令误区
一个懒鬼的博客
02-14 8911
1.子网掩码(IP subnet mask) 用途:标识一个IP地址的网络位,主机位 网络设备判断目的IP跟自己是否同一网段的依据。 特点:1和0绝对不可能间隔,1总在0的前面。 网络通信角度,子网掩码只具有本地意义。跟对端没有匹配的硬性要求。 误区:一条链路两端的子网掩码必须一致(是习惯不是必须) 例外:ospf 多路访问网络中,掩码不一致会影响ospf邻居关系建立 2.通配符掩码 wildcard mask 用途:选出一组符合否规则的IP地址 特点:0表匹配...
华为ospf配置实例,实验操作
02-21
华为路由器中,OSPF配置涉及到多个方面,包括基本功能、虚连接、DR选举、负载分担、Stub区域、NSSA区域、本地MT特性、BFD for OSPF、IP FRR、GR特性、OSPF-BGP联动以及GTSM特性。下面将详细介绍这些配置实例。 1. *...
综合组网实验(eNSP)(vlan、vlan间通信、nat地址转换、acl、dhcp、ospf……)
01-09
综合组网实验是网络技术学习中的一个重要环节,它旨在通过模拟真实的网络环境,让学生或工程师掌握网络设备的配置和管理,以及实现不同网络区域间的通信。在这个实验中,主要涉及了多个关键知识点,包括VLAN(虚拟...
华为eNSP实现ospf动态路由,STP,VRRP,DHCP、ACL、NAT、Telnet企业内网访问外网案例
最新发布
07-03
在本案例中,我们将深入探讨如何使用华为eNSP(Enterprise Network Simulation Platform)模拟环境来配置和实现一系列网络服务和协议,以构建一个能够支持企业内网访问外网的复杂网络架构。这些服务和协议包括OSPF...
华为 S系列交换机 典型配置案例(HedEx2.0)
05-09
10. **IPv6支持**:随着IPv4地址的枯竭,华为S系列交换机还支持IPv6,可以配置IPv6地址、路由,以及启用IPv6 ACL等功能,适应未来的网络发展趋势。 综上所述,华为S系列交换机的典型配置案例涵盖了企业网络管理的...
华为数据交换机案例
12-16
一、 交换机案例 6 1. tftp软件设置问题导致配置文件上载失败 6 2. 由于10M/2M设备不支持VLAN导致能Ping通外网但是无法打开网页 7 3. 由于两条物理链路形成环路造成部分业务不通 8 4. VLAN TRUNK配置不正确导致业务...
ensp动态路由ospf基础配置
qq_53332962的博客
06-12 9501
①启动ospf进程: ②创建区域: ③宣告(激活接口,发布路由):注意网段后面跟的是反掩码 实验如下: 推荐给每个路由器先配置一个环回接口,这个接口会作为路由器的RID。
OSPF VLAN ACL NAT 笔记总结
tang_7615的博客
05-17 233
r1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.255 ----网段宣告,使用反掩码进行宣告。12.0.0.100----漂浮IP----合法的从运营商购买的公网IP地址,且该地址必须与边界路由器出接口地址处于同网段。[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0-----接口地址宣告。[sw1]vlan 2 -----默认情况下交换机存在vlan 1,并且所有接口属于vlan 1。
RIP配置实验
weixin_74874800的博客
03-21 259
rip 配置实验
第七天--HCIA第五章--OSPF+ACL
m0_73163437的博客
01-09 355
OSPF选路佳,收敛快,占用资源少1,OSPF本身是链路状态型协议,所以,计算出的路径不会存在环路;并且使用带宽作为选 路依据,所以,在选路的角度上优于RIP;2,OSPF的计时器时间也短于RIP,所以,收敛速度会快于RIP;3,因为OSPF协议传递的是LSA信息,所以,单个数据包的资源占用远大于RIP;但是,因为 RIP存在30S一次的周期更新,而OSPF并没有如此高频率的周期更新,并且,OSPF协议存在 许多针对资源占用的优化措施,所以,从整体的角度看,OSPF资源占用上应该小优于RIP。
20: OSPF 、 传输层 、 ACL
weixin_46575696的博客
11-10 318
CASE Top NSD NETWORK DAY03 案例1:动态路由 案例2:基本ACL的配置(1) 案例3:基本ACL的配置(2) 案例4:高级ACL ...
单臂路由+ 三层组网+ OSPF + ACL访问控制
weixin_43472459的博客
04-23 1173
实验目标: 不同Vlan可以访问外网,vlan间互相隔离。vlan10可以管理所有vlan 实验拓扑: access和trunk模式大致原理解析: 接收: access收到的帧通常是不带vlanTag的,收到无tag的帧会打上vlanTag(将该端口PVID作为该tag的vlanID) access也有可能收到带tag的帧(通常是被攻击),收到带tag的同样会将tag中的vlanID更改为该端口的PVID,因为不能转发到不同vlan端口不代表不能收不同vlan帧。可以直接理解为带tag的帧若与端口pvid
OSPF+ACL大型综合实验
banya1999的博客
05-12 6874
练习 5.6.1: Packet Tracer 综合技能练习 地址表 学习目标 配置带有 CHAP 身份验证的 PPP 配置默认路由 配置 OSPF 路由 实施并检验多项 ACL 安全策略 简介 在本练习中,您需要演练配置实施五项安全策略的 ACL 的技能。此外,您还要配置 PPP 和 OSPF 路由。设备已配置了 IP 地址。用户执行口令是 cisco,特权执行口令是 class。 任务...
ensp 交换机与路由器ospf_eNSP——实现OSPFACL综合实验
weixin_34167684的博客
01-12 1205
OSPFACL再前几个随笔中提到了,现在我们来做一个实例。拓扑图: 实验案例要求:1.企业内网运行OSPF路由协议,区域规划如图所示;2.财务和研发所在的区域不受其他区域链路不稳定性影响;3.R1、R2、R3只允许被IT登录管理;4.YF和CW之间不能互通,但都可以与IT互通;5.IT和YF可以访问Client1,但CW不能访问Client1;6.YF和CW只能访问Server1的WWW服务;实...
eNSP经常使用的命令
weixin_44732231的博客
12-16 1994
显示vlan [Huawei-vlan10]display vlan [Huawei-vlan10]display vlan * : management-vlan --------------------- The total number of vlans is : 2 VLAN ID Type Status MAC Learning Broadcast/Multicast/Unicast Property ----------------------------...
华为设备OSPF其中状态
05-11
OSPF协议中有以下几种状态: 1. Down状态:路由器刚启动或者接口被关闭时的状态,此时不会发送或接收任何消息。 2. Init状态:在Down状态下,当路由器检测到某个接口被打开时,会进入Init状态并发送Hello消息。 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值