工作之余,总结的H3CSE路由部分的知识点,共享
 
出来,希望能对初学H3CSE的朋友有帮助。
 
第一部分  OSPF
一、OSPF基本概况,记住4点。
1.由IETF制定。
2.L-S类型。
3.是一种IGP
4.目前使用version2(version3针对ipv6)

二、OSPF8个特点。

1.适用各种网络规模,最多支持几百台路由。

2.收敛快(原因采用了触发更新机制)。

3.无环(原因采用了SPF算法,报文携带routerID).

4.引入区域机制(L-S路由算法共性,提高OSPF工作效率)。

5.等价路由(好处是实现负载均衡)。

6.路由分级(共四级,具有不同优先级,intra和inter是优先级10和extra1和extra2优先级150)。

7.支持验证(增强了路由协议本身的安全性)。

8.协议报文用组播发送。

三、OSPF6个重要概念。
1.自治系统:用AS表示,是一组使用相同路由协议交换路由信息的路由器集合
2.OSPF的路由计算过程:step①交互LSA每台路由器生成LSDB(LSA---LSDB)step②将LSDB转换成带权有向图step(LSDB---带权有向图)③根据SPF算法计算出路由。(SPF计算---路由表)(注意:此过程中每台路由器的LSDB是相同的,每台路由器计算出的路由是不同。)
3.routerID:①作用是在AS中唯一标识一台路由器②本身是一个32bits无符号整数。
4.OSPF5种协议报文:
  ①hello报文(用来建立邻居关,选举DR/BDR)
  ②DD报文(将自己LSDB描述给邻居)
  ③LSR报文(向邻居请求自己需要的LS)
  ④LSU报文(向邻居发送对方需要的LS)
  ⑤LSAck报文(对收到的LS进行确认)
五、OSPF的9中LSA类型
1.type1:每个路由器产生,在本area内传播
2.type2:DR产生,在本area内传播
3.type3:ABR产生,通告给其他的area
4.type4:ABR产生,通告给相关area(到ASBR的路由)
5.type5:ASBR产生,通告给除了STUB area(到AS外部的路由)
6.type7:NSSA的ASBR产生,仅在NSSA area传播(到AS外部的路由)
六、邻居和邻接
1.在OSPF中路由器与路由器之间有两种关系分别是邻居和邻接。
2.收到hello报文的路由器检查报文中的参数,如果双方一致就形成邻居关系。
3.当双方成功交换DD报文,交换LSA达到LSDB同步后,建立邻接关系。
七、OSPF的area概念
1.area产生原因:①路由器数量多导致每台LSDB变大,使路由器需要很到内存和很强CPU运算能力②大规模网络中网络容易震荡且收敛很慢。
2.引入area后OSPF网络中的路由器有4种:①area内路由器②区域边界路由器ABR③骨干路由器④自治系统边界路由器ASBR。
3.area划分原则:常规area和骨干area物理直连,否则用vlink解决。
4.vlink的另一作用:提供冗余链路(物理直连down,逻辑连接可使用)
5.STUB area:该area不允许注入type5LSA,故路由表大大减小。
6.NSSA area:是STUB area的改进。
7.OSPF网络中路由的类型:intra---inter---type1 external---type2 external
八、OSPF支持的网络类型
1.broadcast:用组播224.0.0.5 224.0.0.6发送协议报文,选举DR/BDR。
2.NBMA:用单播发送协议报文,选举DR/BDR,手工指定邻居
3.P2P:组播224.0.0.5发送协议报文
4.P2MP:组播224.0.0.6发送协议报文
九、OSPF中DR/BDR的概念
1.DRother只与DR/BDR建立邻接关系
2.broadcast和NBMA类型接口才会选举DR/BDR。
3.路由器优先级大于0才可被选举为DR/BDR,优先级相同时,routerID大的选为DR/BDR.
4.DR是针对网段而言的,故以接口来区分。
第二部分  BGP
一、BGP概述:
1.是唯一的EGP
2.现在使用的是version4
3.广泛应用于ISP或大型企业网。
二、BGP的8个特点
1.BGP的作用控制路由传播和选择最佳路由(IGP是发现和计算路由)
2.BGP的协议报文用TCP封装,端口号是179
3.支持CIDR
4.增量更新路由
5.无环路(通告路由时携带ASN)
6.具有丰富路由策略
7.易于扩展
三、BGP的3个小概念
1.BGP Speaker
2.peer
3.group
4.IBGP和EBGP
四、BGP的协议报文总结
1.BGP有5中协议报文,它们有相同报文头。
2.open报文:TCP连接建立后发送的第一个报文,用于建立BGP peer间的邻居关系
3.update报文:用于在peer间交换路由信息。
4.notification报文:BGP检测到错误状态时,向peer发送该报文,之后BGP连接中断
5.keepalive报文:周期性向peer发送,保持连接有效性(该报文只有报文头)
6.route-refresh报文:用来要求peer重新发送指定地址的路由信息。
五、BGP路由属性总结(这是BGP最具特色的地方,也是最重要的地方)
1.路由属性是一组参数,对特定路由进行描述,让BGP对路由过滤和选择
2.BGP的路由属性分为4类:①必遵②可选③过渡④非过渡
3.最常用的几个BGP路由属性列举:
  ①origin属性:该属性定义了路由信息的来源,共3个属性值IGP>BGP>INCOMPLETE
  ②as-path属性:该属性按次序记录了某条路由从本地到目的地址所经过的所有AS编号,BGP将一条路由通告到其它AS时,便把本地ASN加在as-path列表的最前面。(通常BGP不会接受as-path列表中包含本地ASN的路由,从而避免了环路)
  ③next-hop属性:BGP把产生的路由发送给所有邻居时,将路由信息的下一跳属性设置为自己与对端连接的接口地址;BGP把接收到的路由发送给EBGP邻居时,将该路由信息的下一跳属性设置为本地与对端连接的接口地址;BGP把从EBGP邻居得到的路由发送给IBGP邻居时,不改变下一跳属性,如果配置了负载分担,路由被发给IBGP邻居时则会修改。
  ④MED属性:BGP路由器通过不同EBGP邻居得到相同目的地的路由时,其它条件相同时,有限选择MED值小的作为最佳路由。
  ⑤local-pref属性:该属性仅在IBGP邻居间交换,不通告给其他AS;当BGP路由器通过不同IBGP邻居得到相同目的地但下一跳不同的多条路由时,优先选择local-pref值较高的路由。
  ⑥community属性:该属性简化路由策略的应用和降低维护管理的难度。
六、BGP的选路策略,共3中情况
情况1:接收路由的策略(首先丢弃下一跳(NEXT_HOP)不可达的路由;优选Preferred-value值最大的路由;优选本地优先级(LOCAL_PREF)最高的路由;优选聚合路由;优选AS路径(AS_PATH)最短的路由;依次选择ORIGIN类型为IGP、EGP、Incomplete的路由;优选MED值最低的路由;依次选择从EBGP、联盟、IBGP学来的路由;优选下一跳Cost值最低的路由;优选CLUSTER_LIST长度最短的路由;优选ORIGINATOR_ID最小的路由;优选Router ID最小的路由器发布的路由;优选地址最小的对等体发布的路由。
情况2:发布路由的策略( 存在多条有效路由时,BGP发言者只将最优路由发布给对等体;BGP发言者只把自己使用的路由发布给对等体;BGP发言者从EBGP获得的路由会向它所有BGP对等体发布(包括EBGP对等体和IBGP对等体);BGP发言者从IBGP获得的路由不向它的IBGP对等体发布;BGP发言者从IBGP获得的路由发布给它的EBGP对等体(关闭BGP与IGP同步的情况下,IBGP路由被直接发布;开启BGP与IGP同步的情况下,该IBGP路由只有在IGP也发布了这条路由时才会被同步并发布给EBGP对等体);连接一旦建立,BGP发言者将把自己所有的BGP路由发布给新对等体。
情况3:应用了负载分担后时的选路
七、BGP和IGP的同步问题
1.IBGP路由加入路由表前并发布给EBGP邻居前,会先检查IGP路由表,只有IGP叶有改目的路由是,认为是同步的,才会发布路由给EBGP邻居。否则是不同步,不加入不发布。
八、大规模BGP网络面临的问题
1.路由聚合:支持自动聚合和手动聚合,手动聚合可以控制聚合路由属性,以及决定是否发布具体路由。
2.路由衰减
3.路由反射器
4.联盟
第三部分 路由策略
一、路由策略概述,共3点
1.作用:为了改变流量的路径而修改路由信息
2.应用场合:①路由发布时②路由接收时③路由引入时
3.实现方法:step①定义匹配规则 step②将匹配规则应用到需要的场合
二、路由策略实现用到的过滤器(1.2.6是通用的,3.4.5是BGP专用的)
1.ACL
2.地址前缀
3.as-path访问列表
4.团体属性列表
5.扩展团体属性列表
6.route-policy

第四部分    AAA和radius
一、AAA知识点,4点
1.AAA=authentication、authorization、accounting(认证、授权、计费):①认证是确认远端访问用户的身份是否合法②授权是对不同用户赋予不同权限,限制用户可以使用的服务③计费是记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,不仅是计费手段,也对网络安全起监视作用。
2.AAA是C/S架构,一般radius或hwtacacs规定NAS与server如何传递用户信息。
3.3个A可以搭配使用。
二、radius概述
1.radius=remote authentication dial-in user service(远程认证拨号用户服务)
2.radius是分布式、C/S架构的信息交互协议
3.radius基于UDP,1812为认证端口、1813为计费端口
4.radius最早用于拨号接入,后来用于以太网接入、ADSL接入
三、radius服务器通常维护3个数据库
1.users:用户名、口令、协议、ip地址
2.clients:共享密钥、ip地址
3.dictionary:属性和属性值
四、radius客户端和服务器端交互机制,共3点
1.radius客户端和服务器之间认证消息的交互通过共享密钥保证安全,网络不传输共享密钥。用户密码在网络上加密传输。
2.radius服务器支持多种方法认证用户(如基于PPP的PAP\CHAP)
3.radius服务器可以为其它类型认证服务器提供代理
五、radius消息交互流程,共9步
Step①用户发起连接请求,向RADIUS客户端发送用户名和密码。

Step②RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密处理。
Step③RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
Step④RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
Step⑤RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。


Step⑥用户开始访问网络资源。


Step⑦用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。


Step⑧RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。


Step⑨用户结束访问网络资源。