本文深入解析OSPF协议,包括其与RIP的对比,详细阐述OSPF的工作过程、区域化结构和配置方法。同时,介绍了VLAN的基本原理、类型及配置,以及NAT的分类如静态NAT、动态NAT和NAPT,以及端口映射的实现。此外,探讨了VLAN和NAT在网络管理和流量控制中的重要性。
OSPF----开放式最短路径优先协议
RIP缺点 RIP是基于跳数选路的----导致选路不佳
RIP有周期更新---30s---占用过多的链路资源
RIP最大跳数15----RIP仅支持小规模网络
基本概念
IGP(AS内部使用的)
链路状态型协议---LS----传递拓扑
传递真实掩码(无类别的路由协议)
优先级---10
COST===参考带宽/实际带宽(参考带宽默认100M)
OSPFv1、OSPFv2、OSPFv3
SPF
LSA(链路状态通告)
OSPF更新方式
触发更新
周期链路状态刷新--30min
及其消耗路由器资源的协议
通过组播的方式进行数据报文发送,224.0.0.5/224.0.0.6
OSPF是跨层封装
OSPF协议号---89
OSPF区域化结构
OSPF为了适应大型网络环境,进行了结构化部署----区域划分
区域数量不同,单区域OSPF网络/多区域OSPF网络
区域划分特点
区域内部传递拓扑信息,区域之间传递路由信息----经典的链路状态型协议的距离矢量特征。
区域编号----方便管理
由32位二进制组成,点分十进制表示,更多情况用阿拉伯数字表示
区域0---骨干区域
其他区域---非骨干区域
单区域网络-----这个区域必须是骨干区域
多区域网络-----呈星型拓扑,并且所有的非骨干区域必须与骨干区域直接相连
区域划分是基于接口的。
为什么要进行区域划分?
限制LSA的传播范围
减少LSA的数量
ABR:区域边界路由器
一定至少有一个接口属于区域0,有若干个接口属于其他区域
OSPF工作过程:5个数据包、7中状态机、2种关系、3种角色和3种表
OSPF数据包
hello包:用来周期保活、发现、建立OSPF邻居关系
R-ID
全网唯一
32位二进制
手工配置>环回接口IP>物理接口IP
10s发送一次来确认邻居存在
死亡时间===4*hello
DD包:数据库描述报文
包含了本地所有邻居的目录信息
LSR报文:链路状态请求报文
请求获取本地未知的链路信息
LSU报文:链路状态更新报文
真正的包含了LSA信息
LSAck报文:链路状态确认报文
七种状态机---以太网
down:关闭状态-----一旦启动OSPF协议,则发出hello包,进入下一状态
init:初始化状态----收到的hello包中存在本地的RID值,进入下一状态
2-way:双向通讯状态------邻居关系建立的标志
条件匹配:匹配成功进入下一阶段,匹配失败,则永远停留在邻居状态
exstart:预启动状态----使用未携带真实数据的DBD报文进行主从关系选举,RID大为主,优先进入
下一阶段
exchange:转交换状态-----使用携带真实数据的DBD报文进行目录共享
loading:加载状态----邻居之间使用LSR/LSU/LSAck三种报文来获取完整的拓扑信息
full:转发状态----拓扑交换完成后进入该状态,标志着邻接关系的建立
条件匹配
也是一种选举,选择负责人
为什么要有条件匹配
在一个广播域中,若所有设备都建立了邻接关系,则将出现大量的重复更新
条件匹配可以大量减少这些重复更新的数据报文,并且降低邻接关系数量
设备名称
DR---指定路由器
BDR----备份指定路由器
DROther---其他路由器
DR与BDR是邻接关系、DR和DROther也是邻接关系、BDR与DROther是邻接关系、DROther与
DROther之间是邻居关系
OSPF建立邻接关系的条件
点到点网络:直接建立邻接关系,不需要进行条件匹配
MA(以太网)网络:进行条件匹配,40s
选举规则
看接口优先级,0-255;优先级越大越优,默认为1
看RID值,越大越优
选举范围
一个广播域,进行一次选举
一台路由器,即可以是DR,也可以是BDR,更可以是DROther,这取决于从哪个广播域看待
选举模式 非抢占性的:一旦选举成功,不会因为新加入的设备而重新选举
OSPF工作过程
OSPF首先启动,路由器A向本地所有的启动了OSPF协议的直连接口,使用组播地址224.0.0.5发送hello
报文;hello中包含了全网唯一的本地的RID值;之后对端路由器B也将回复一个hello报文,该报文中若
携带了A的RID值,则A与B建立邻居关系,并生成邻居表。
邻居关系建立以后,邻居间会进行条件匹配,匹配失败则停留在邻居关系,匹配成功,则可以开始建立
邻接关系。
邻接之间共享DBD报文,将本地和邻接的DBD报文进行对比,进行主从关系选举,主优先进入下一状
态。
之后共享真正携带数据的DBD报文,将本地与邻接的DBD报文进行对比,查找本地没有的LSA信息,通
过LSR来询问,对端使用LSU来回答具体的LSA信息,之后本地在使用LSAck报文进行确认。该过程完成
之后,生成数据库表(LSDB)。
最后,本地基于数据库表,启用SPF算法,计算到达所有未知网段的最短路径,然后将计算结果加载到
本地的路由表中。此时收敛完成。
收敛完成后,双方设备使用hello报文进行周期保活。并进行30min的周期更新。
结构突变
新增网段
直接使用更新报文告知邻接关系接口
断开网段
直接使用更新报文告知邻接关系接口
无法沟通
超出死亡时间,断开邻接关系,删除路由表,但是不会删除数据库。
OSPF配置
[R1]ospf 1 router-id 1.1.1.1 //启动OSPF协议,进程为1,RID为1.1.1.1
[R1-ospf-1]area 0 //进入区域0
[R1-ospf-1-area-0.0.0.0]network 12.1.1.0 0.0.0.3 //宣告网段,使用的是反掩码(连
续的0+连续的1)
[R1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0 //直接宣告接口,推荐使用该方式
宣告的意义:将该宣告地址所属接口划分到相应区域;激活接口,使接口可以收发OSPF报文。
[R2]display ospf peer brief //查询邻居简表
[R2]display ospf peer //查询邻居详表
[R2]display ospf lsdb //查询数据库表
[R2]display ip routing-table protocol ospf //查询OSPF路由表
OSPF扩展配置
修改OSPF开销值
通过修改参考带宽的方式来控制开销值
一台设备进行修改,全OSPF网络设备都需要修改
[Huawei-ospf-1]bandwidth-reference 1000 //修改参考带宽为1000Mbps
修改接口优先级
人工的方式影响DR选举结果
[Huawei-GigabitEthernet0/0/0]ospf dr-priority 10 //修改接口优先级
<Huawei>reset ospf process //重启本机OSPF进程
[Huawei-GigabitEthernet0/0/0]ospf dr-priority 0 //代表该设备接口不参与选举
缺省路由
一般是在边界设备上配置
非强制性下发:配置设备上必须有一条缺省路由
[Huawei-ospf-1]default-route-advertise //下发缺省
强制性下发
[Huawei-ospf-1]default-route-advertise always
静默接口(被动接口)
只接收,但不发送hello报文,一般用于连接用户的接口
[Huawei-ospf-1]silent-interface GigabitEthernet 0/0/0 //静默接口为GE0/0/0
手工认证
认证类型
不认证---0
明文认证---1
密文认证---2
[Huawei-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher
123456
如果要选择密文认证方式,两端需要使用相同规定key id
OSPF与RIP的对比
根据区别
OSPF是基于链路状态的协议,RIP是基于距离矢量的协议
交换技术
垃圾流量问题:大量的广播帧会占用带宽资源和计算机处理速度。
安全问题:计算机可以轻易收到不应该收到的数据帧,产生安全隐患。
VLAN---虚拟局域网
LAN----局域网
WAN---广域网
VLAN的基本原理
VLAN数据帧
VLAN的类型
基于端口的VLAN----一层VLAN
是最常用的划分方式
是将VLAN编号映射到交换机的物理接口上,从该交换机进入的数据帧都会被划分到该vlan
基于MAC地址的VLAN----二层VLAN
一般用于PC接入交换的端口会变化时使用
提前配置一个vlan与mac的对应关系,当数据帧进入交换机时,交换机会查询该映射表,根据
不同的源MAC地址来划分不同VLAN
基于协议的VLAN----三层VLAN
端口类型
Access端口
一般在交换机与终端相连的接口
功能
收:若接收的数据包中没有VLAN标签,则向数据包中添加该接口的所属标签。若数据包
中有标签,会丢弃数据包。
发:若将要发出的数据包中VLAN标签值与该接口所属标签相同,则摘掉标签发出数据
包,若标签值不相同,则丢弃。
Trunk端口---干道
一般在交换机与交换机相连的接口
功能
放通多个vlan
配置VLAN
VID:用来标识和区分不同VLAN的,范围是0-4095,但是0和4095作为保留,不能使用
一、创建vlan
[SW1]vlan 2 //创建vlan 2
[SW1]vlan batch 2 to 100 //批量创建vlan2到vlan100
[SW1]vlan batch 2 5 10 20 //批量创建vlan2、vlan5、vlan10、vlan20
二、将接口划入vlan
[SW1]interface GigabitEthernet 0/0/1 //进入接口
[SW1-GigabitEthernet0/0/1]port link-type access //更改接口模式为access接口
[SW1-GigabitEthernet0/0/1]port default vlan 2 //更改端口默认vlan为2,默认vlan原本
为1
[SW1]display vlan //查询vlan详情
[SW1]display vlan summary //查询vlan简表
三、配置Trunk干道
[SW1-GigabitEthernet0/0/5]port link-type trunk //更改接口类型为trunk接口
[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3 //为trunk口放行vlan2与
vlan3
VLAN间通讯
多臂路由
下联交换机接口一定要使用access
单臂路由
通过划分多个子接口的方式进行数据转发,子接口的个数由下联vlan数量决定
sub-interface,是路由器基于以太网接口所创建的一种逻辑接口,由物理接口ID+子接口ID组
成
下联交换机必须配置trunk口,放通多个vlan
三层交换机
SVI接口------VLANIF接口----虚拟的逻辑的
作用
配置IP,并可以进行路由转发
具备对VLAN标签的添加、剥离操作----本身具备
具备ARP能力----本身也具备
[R1]interface GigabitEthernet 0/0/0.1 //创建子接口,并进入子接口视图
[R1-GigabitEthernet0/0/0.1]ip address 192.168.2.254 24 //配置子接口IP地址
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 2 //定义该子接口所管理的vlan
[R1-GigabitEthernet0/0/0.1]arp broadcast enable //开启子接口arp广播功能
[Huawei]vlan batch 2 3 //批量创建vlan2和vlan3
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2] port link-type trunk
[Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan 2 to 3
[Core]interface Vlanif 2 //创建vlan2的接口空间;表明对vlan2的标签进行操作
[Core-Vlanif2]ip address 192.168.2.254 24
三层交换机参与下的三层通信流程
网络拓扑
连接逻辑
通信过程
ACL----访问控制列表
是一种策略
ACL原理
配置了ACL的网络设备,会根据事先设置好的报文匹配规则对经过该设备的流量进行匹配,然
后对流量进行预定义的动作处理。
ACL功能
访问控制
在设备上的流入或流出方向上,匹配流量,然后执行动作
允许/拒绝
抓取流量
ACL经常会跟其他协议共同使用,当与其他协议共同使用时,ACL一般仅作流量匹配,对
应动作又其他协议完成
防火墙、路由策略、QoS
ACL的匹配规则
自上而下,逐一匹配;匹配成功,则直接按该条目执行,不继续向下匹配。
若都没有匹配上,则执行默认规则
思科设备ACL访问控制列表末尾隐含条件:拒绝所有流量
华为设备ACL访问控制列表末尾隐含条件:允许所有流量
ACL分类
基本ACL
只能基于IP报文的源IP地址、报文分片和时间段来定义规则
编号:2000-2999(规则编号:用于区分不同的规则列表)
高级ACL
基于IP报文的源IP、目的IP、协议字段、IP报文的优先级、报文长度、传输层的源目端口
号等信息来规定
编号:3000-3999
二层ACL
使用报文的以太网帧信息来定义规则
编号:4000-4999
用户自定义ACL
IP报文、TCP报文、ICMP、端口号、MAC
编号:5000-5999
示例
需求一:
PC1可以访问192.168.2.0/24网段,PC2不行
分析
仅对源有要求,配置基本ACL即可
配置原则
由于基本ACL仅关注源IP地址,故配置时尽量靠近目标,避免对其他地址访问误伤。
配置
一、创建ACL列表
[R2]acl 2000 //创建编号为2000的ACL列表
二、设定规则
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //设定规
则,拒绝源IP为192.168.1.2的地址通过
三、允许所有
[R2-acl-basic-2000]rule 10 permit source any //在最后允许所有
规则号:华为默认规定步长为5,方便后期维护时增加或删除规则。
四、在接口调用ACL列表
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在该接
口出方向调用
每个接口仅能调用一张ACL列表。但一张表可以在多个接口被调用
方向:出方向、入方向;根据流量流动方向来判断,一个接口即可以是出接口也可以是入接
口。
[R2]display acl all
[R2]display acl 2000
上述命令中0.0.0.0该字符串,是通配符。0代表不可变,1代表可变位。
例1:
rule deny source 192.168.1.2 0.0.0.0 拒绝192.168.1.2通过
192.168.1.2-----11000000.10100100.00000001.00000010
0.0.0.0---------00000000.00000000.00000000.00000000
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
192.168.1.2-----11000000.10100100.00000001.00000010
0.0.0.1---------00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP通过
rule deny source 192.168.1.1 0.0.0.254
192.168.1.1-----11000000.10100100.00000001.00000001
0.0.0.254-------00000000.00000000.00000000.11111110
需求二:
PC1可以访问PC3,但是不能访问PC4
分析
对目标有要求,需要使用高级ACL
配置原则
一、创建ACL列表
[R2]acl 2000 //创建编号为2000的ACL列表
二、设定规则
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 //设定规
则,拒绝源IP为192.168.1.2的地址通过
三、允许所有
[R2-acl-basic-2000]rule 10 permit source any //在最后允许所有
规则号:华为默认规定步长为5,方便后期维护时增加或删除规则。
四、在接口调用ACL列表
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 //在该接
口出方向调用
每个接口仅能调用一张ACL列表。但一张表可以在多个接口被调用
方向:出方向、入方向;根据流量流动方向来判断,一个接口即可以是出接口也可以是入接
口。
[R2]display acl all
[R2]display acl 2000
上述命令中0.0.0.0该字符串,是通配符。0代表不可变,1代表可变位。
例1:
rule deny source 192.168.1.2 0.0.0.0 拒绝192.168.1.2通过
192.168.1.2-----11000000.10100100.00000001.00000010
0.0.0.0---------00000000.00000000.00000000.00000000
例2:
拒绝192.168.1.2和192.168.1.3通过
rule deny source 192.168.1.2 0.0.0.1
192.168.1.2-----11000000.10100100.00000001.00000010
0.0.0.1---------00000000.00000000.00000000.00000001
例3:
拒绝192.168.1.0/24网段中的所有单数IP通过
rule deny source 192.168.1.1 0.0.0.254
192.168.1.1-----11000000.10100100.00000001.00000001
0.0.0.254-------00000000.00000000.00000000.11111110
因为高级ACL对流量进行的是精确匹配,为避免对链路资源的占用,故在最接近源的位
置配置
配置
[R2]acl 3000
[R2-acl-adv-3000]rule deny ip source 192.168.1.1 0.0.0.0 destination
192.168.2.2 0.0.0.0
[R2-acl-adv-3000]rule permit ip source any
需求三:
要求PC1可以ping通R2,但是不能telnet R2
分析
本需求涉及到端口,所以需要使用高级ACL
[R1]acl 3100
[R1-acl-adv-3100]rule deny tcp source 192.168.1.1 0.0.0.0 destination
12.1.1.2 0.0.0.0 destination-port eq 23
NAT----网络地址转换
处于边界的三层设备都会配置NAT技术
NAT分类
静态NAT
一对一
在私网边界路由器上建立并维护一张表(静态地址映射表)。记录了私有地址与公有地址的转
换关系。
工作过程
配置
[Huawei]interface GigabitEthernet 0/0/0 //进入边界设备的对外接口
[Huawei-GigabitEthernet0/0/0]nat static global 10.1.1.1 inside
192.168.2.1 //配置静态地址转换。此公有IP地址不能是本路由器上正在使用的公有
IP地址。
漂浮IP:这个IP必须是从运营商合法买到的公网IP地址,并且要与出接口地址处于同一网
段。
[Huawei]display nat static //查询静态NAT转换表
动态NAT
一对多、多对多
动态NAT,同一时间内,仅允许一个私网IP进行转换。只能等上一个流量回来后,下一个流量
才能转换发出。(排队上网)
配置
一、创建公有地址池塘
[Huawei]nat address-group 1 10.1.1.10 10.1.1.11 //创建一个公有地址
组,组号为1,包括了2个IP地址,分别是10.1.1.10和10.1.1.11;必须是合法购买的公
网IP;公网IP必须连续
二、抓取流量--->匹配
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
三、将ACL与公有地址组绑定并调用
[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 nopat
[Huawei]display nat address-group
NAPT
网络地址端口转换技术
目前互联网上使用最广泛的技术
解决了动态NAT需要排队的问题
维护了一张源端口号与私网地址的映射关系表
1-65535
EASY IP
配置
一、抓流量
[Huawei]acl 2100
[Huawei-acl-basic-2100]rule permit source 192.168.2.0 0.0.0.255
二、接口调用
[Huawei-GigabitEthernet0/0/0]nat outbound 2100 //easy ip规定,默认使
用该接口IP作为公有IP通讯
[Huawei]display nat outbound //查看NAT配置信息
多对多NAPT
一、创建公有IP组
[Huawei]nat address-group 2 10.1.1.10 10.1.1.20
二、抓取流量
[Huawei-acl-basic-2200]rule permit source 192.168.2.0 0.0.0.255
三、调用
[Huawei-GigabitEthernet0/0/0]nat outbound 2200 address-group 2
端口映射
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global currentinterface telnet inside 192.168.2.1 telnet
660
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
