admin 管理员组文章数量: 887021
陈鑫
第二章、操作网络设备
路由器
交换机
专用计算机
VRP---华为---通用路由平台(操作系统)
华为将VRP系统按照功能将不同命令分别注册于不同的视图之下
用户视图----<Huawei>
系统视图----[Huawei]
其他视图
<Huawei>system-view //从用户视图进入系统视图
[Huawei]? //帮助文档,显示在当前视图下所能执行的命令
[Huawei]quit //退回上一视图
[Huawei]display //查看命令
[Huawei-Tunnel0/0/0]undo //删除命令
<Huawei>save //必须在用户视图使用,保存当前操作配置Telnet协议
利用TCP连接,通过一条连接向设备的会话,向网络设备发送命令并被设备执行。
端口号---23
Server:
<Server>system-view
[Server]interface GigabitEthernet 0/0/0
[Server-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Server]telnet enable //开启telnet服务,华为默认开启----不需要配置
[Server]user-interface vty 0 4 //开启用户接口
[Server-ui-vty0-4]authentication-mode aaa //修改认证模式为AAA框架
[Server]aaa //进入AAA视图
[Server-aaa]local-user huawei password cipher 123456 //创建用户名和密码
[Server-aaa]local-user huawei service-type telnet //设置用户服务类型
[Server-aaa]local-user huawei privilege level 15 //设置用户权限等级
[Huawei]sysname Telnet Server //修改设备名称
PC:
<Client>system-view //进入系统视图
[Client]interface GigabitEthernet 0/0/0 //进入接口
[Client-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0
<Client>telnet 192.168.1.2
Press CTRL_] to quit telnet mode
Trying 192.168.1.2 ...
Connected to 192.168.1.2 ...
Login authentication
Username:huawei
Password:
<Server>命令级别
参观级--0
监控级--1
配置级--2
管理级--3-15DHCP---动态主机配置协议
手工配置网络参数的问题
对于普通用户而言
对于网络管理员
C/S架构
端口号:67和68----UDP(68属于客户端、67属于服务端)
报文类型----DHCP八种报文类型(6种)
DHCP discover:客户端用来寻找DHCP服务器
DHCP offer:DHCP服务器回复客户端(其中携带了部分配置信息---IP地址、掩码、网关等)
DHCP request:客户端正式请求IP地址(offer包中的IP)
DHCP ack:服务器同意客户端使用该IP地址
DHCP nak:服务器不同意客户端使用该IP地址
DHCP release:PC主动释放IP地址
工作过程
首先,PC广播发送DHCP discover报文,Server在接收到广播包以后,会在本地选择一个未分配的
IP地址,然后以广播或单播的形式回复DHCP offer报文(携带了将要分配给PC的网络参数)
*若本地没有未分配地址,则不会回复信息
网络中可能会存在多个DHCP服务器,且因为PC是广播发送的请求报文,则这些服务器都能接收到
该报文,并回复。
此时PC接收到多个DHCP服务器回复的DHCP offer报文,则会选择第一个到达的报文中所蕴含的网
络参数。
PC再一次使用广播发送DHCP request报文向server请求OFFER报文中的网络参数。
*广播发送的原因
告诉所有的服务器,我的选择。
服务器会再一次检测该IP地址是否可用,若可用,则回复ACK,若不可用,则回复NAK报文(在华
为的逻辑中,若该IP不可用,则不回复报文。)。
PC在接收到ACK报文后,并不立即使用该IP地址
*PC连续发送三次免费ARP报文
全局DHCP配置
服务端:
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[DHCP Server-GigabitEthernet0/0/0]quit
[DHCP Server]dhcp enable //开启DHCP功能
[DHCP Server]ip pool 111 //创建一个IP地址池塘
[DHCP Server-ip-pool-111]network 192.168.1.0 mask 24 //配置可分配的IP地址网段
[DHCP Server-ip-pool-111]gateway-list 192.168.1.254 //配置网关IP地址
[DHCP Server-ip-pool-111]dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器
[DHCP Server-ip-pool-111]quit
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select global //在该接口激活全局地址池DHCP租期
租期更新计时器
*IP可用时间----24小时(华为)
*在租期到达一半(12小时)时,PC发送DHCP request报文(单播)向服务器请求续租。
如果服务器同意,则回复ACK报文
若服务器拒绝,则回复NAK报文
租期重绑定计时器
*21小时
*PC发送DHCP discover报文,向网络中寻找DHCP服务器,当原本的服务器接收到的后,则正
常进行续租过程。
若原本的服务器还是不存在
则接收网络中其余服务器发送的offer报文,并开始交互DHCP报文内容(源有IP)
* 若网络中不存在DHCP服务器,则继续使用该IP地址,直到IP地址失效。
租期失效计时器---24小时
*PC在租期到约之前,没有收到服务器的任何响应报文。PC停止使用该IP地址,并且发送
DHCP release报文并进入初始化状态。后续重新使用DHCP discover报文申请IP地址。
*PC主动放弃使用的IP地址,此时PC也需要发送DHCP release报文。
在续租时间内,若收到服务器的NAK报文,则PC不能继续使用源IP地址,必须立即放弃使用,并重新发
送DHCP discover报文重新申请IP地址。
地址池
全局:可以应用在路由器的所有接口(见上)(可以把申请入口任意一边的路由器接口)
接口:仅应用于该接口所连接的广播域(专属于这个路由器接口使用的)
在上图中PC2的IP地址为192.168.1.1/24
(在ensp可以实现)
PC1使用DHCP方式获取IP地址,会与DHCP服务器进行正常的IP获取过程,但是,PC1在获取到IP地址
后,需要发送免费ARP报文,PC2会接收该报文,并回复。
此时PC1会认为网络中存在DHCP服务器分配给自己的IP地址,故会向DHCP服务器发送DHCP decline报
文,该报文用于客户端检测到IP地址冲突后,发送给服务器。
服务器接收该报文并将对应IP地址从地址池删除。
在真实实验环境,
服务器在接收到DHCP decline报文,后发送ICMP报文(ping),验证该IP是否真的存在于网络中。[DHCP Server-ip-pool-huawei]excluded-ip-address 192.168.1.2 192.168.1.253 //排除
192.168.1.0/24网段中的192.168.1.2---192.168.1.253这些IP地址[DHCP Server]undo ip pool huawei //删除名称为huawei的地址池
[DHCP Server-GigabitEthernet0/0/0]display this //查看当前视图配置
[DHCP Server]display ip pool //查看DHCP池塘及分配关系接口地址池配置
[DHCP Server]dhcp enable //开启dhcp服务
[DHCP Server]interface GigabitEthernet 0/0/0
[DHCP Server-GigabitEthernet0/0/0]dhcp select interface //开启DHCP接口服务
[DHCP Server-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 //配置接口DNS
[DHCP Server-GigabitEthernet0/0/0]dhcp server lease day 0 hour 2 minute 0 //接
口地址池配置方式,修改DHCP租期时间为0天2小时0分钟
[DHCP Server-ip-pool-huawei]lease day 0 hour 2 minute 0 //全局修改方式作业:实验
编写实验报告:
1、拓扑信息
2、要求及分析
3、IP规划
4、配置截图
5、测试静态路由
[r1]display ip routing-table ----用于查看路由器的路由表目标网段/掩码、下一跳、出接口三类信息共同标识一条路由项。----路由信息的三要素。
特别说明:
如果下一跳的IP地址与出接口的IP地址相同,则证明出接口已经直连到了目的网段中
路由表匹配规则
假设,数据包的目的IP===X;某一条路由项的目的及掩码为Z/Y;如果X和Y做“与”运算后,得出结
果为Z,则证明该数据包的目的IP地址匹配上此路由条目。
若上一跳路由项没有匹配成功,则匹配下一跳路由项。
如果整个路由表都没有路由项与其目的IP匹配,则路由器不转发数据,直接丢弃该报文。
最长掩码匹配规则。----若同时匹配多条路由项,则选择掩码长度最长的。
路由信息来源方式
设备自动发现、手工配置、动态路由协议生成---->直连路由、静态路由、动态路由
直连路由
<r1>display ip interface brief //查看接口配置的IP信息及接口状态简表当网络设备启动后,设备的接口处于UP状态时,设备能够自己发现去往自己接口直接相连的网络
的路由。
直连路由产生条件
*接口双UP
*必须配置IP地址
静态路由
[r1]ip route-static 192.168.2.0 24 12.0.0.2 //配置静态路由
目的网段 目的掩码 紧邻的下一个节点的入接口IP地址路由优先级---华为
对于来源不同的路由规定了不同的优先级,并且优先级越小,路由项的优先级越大。
路由开销---数据包转发的代价
如果有两条同一个协议发现,且优先级和开销值相同的路由项-----称为等价路由。
对于通往同一目的网段的路由,先比较优先级(优先级小的则路由更优),若优先级相同,则比较开销
值。
路由环路
当两个路由器上的路由表内,分别存放一条到达相同网段且目标下一跳为对方的路由时,将形成环
路。
*占用大量带宽资源,影响正常数据包收发过程
*消耗路由器CPU资源,严重会影响到设备宕机
解决方法---TTL
补:
TTL是什么意思?
TTL是⼀个ip协议的值,它告诉⽹络,数据包在⽹络中的时间是否太长⽽应被丢弃。有很多原因使包在⼀定时间内不能被传递到⽬的地。
TTL 的初值通常是系统缺省值,是包头中的8位的域。TTL的最初设想是确定⼀个时间范围,超过此时间就把包丢弃。由于每个路由器都⾄少要把TTL域减⼀,TTL通常表⽰包在被丢弃前最多能经过的路由器个数。当记数到0时,路由器决定丢弃该包,并发送⼀个ICMP报⽂给最初的发送者。
练习:静态路由
PC1、PC2、PC3 互相通
分析:
可以先将PC1与网段192.168.2.0/24 、23.1.1.0/30 、192.168.3.0/24 用静态路由连接(AR1与AR2直连,本身与这三个网段不通)
同理PC2、PC3一样
PC 路由设置IP
AR1
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]int
[Huawei]interface G
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2 24
[Huawei-GigabitEthernet0/0/0]qui
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]int
[Huawei]interface G
^
Error:Incomplete command found at '^' position.
[Huawei]interface G
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip adress 12.1.1.1 30
^
Error: Unrecognized command found at '^' position.
[Huawei-GigabitEthernet0/0/1]ip address 12.1.1.1 30
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]
Mar 11 2023 21:24:54-08:00 Huawei %%01IFPDT/4/IF_STATE(l)[0]:Interface GigabitEt
hernet0/0/1 has turned into UP state.
[Huawei]
Mar 11 2023 21:24:54-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[1]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
[Huawei]
Please check whether system data has been changed, and save data in time
Configuration console time out, please press any key to log onAR2
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int
[Huawei]interface G
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 12.1.1.2 30
Mar 11 2023 21:26:59-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[1]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.2 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 23.1.1.1 30
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]
Mar 11 2023 21:33:38-08:00 Huawei %%01IFPDT/4/IF_STATE(l)[2]:Interface GigabitEt
hernet0/0/2 has turned into UP state.
[Huawei]
Mar 11 2023 21:33:38-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[3]:The line protocol
IP on the interface GigabitEthernet0/0/2 has entered the UP state.
[Huawei]
Please check whether system data has been changed, and save data in time
Configuration console time out, please press any key to log onAR3
<Huawei>sys
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]int
[Huawei]interface G
^
Error:Incomplete command found at '^' position.
[Huawei]interface G
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 23.1.1.2 30
Mar 11 2023 21:35:02-08:00 Huawei %%01IFNET/4/LINK_STATE(l)[1]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.3.2 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]
Please check whether system data has been changed, and save data in time
Configuration console time out, please press any key to log on设置静态路由
AR1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]ip rou
[Huawei]ip route-st
[Huawei]ip route-static 192.168.2.0 24 12.1.1.2
[Huawei]ip route-static 192.168.3.0 24 12.1.1.2
AR2
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]ip rou
[Huawei]ip route-sta
[Huawei]ip route-static 192.168.1.0 24 12.1.1.1
[Huawei]ip route-static 192.168.3.0 24 23.1.1.2
AR3
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]ip rut
[Huawei]ip rout
[Huawei]ip route-sta
[Huawei]ip route-static 192.168.2.0 24 23.1.1.1
[Huawei]ip route-static 192.168.1.0 24 23.1.1.1
[Huawei]
Please check whether system data has been changed, and save data in time
Configuration console time out, please press any key to log onPC用ping命令检测
静态路由协议的扩展配置(优化 )
等价路由
*当路由器访问同一个目标网段时,具备多条开销相同的路径,可以让流量拆分后延多条路径进
行传输,达到叠加带宽的效果,减少单条链路数据传输压力。
*形成等价路由的条件----路由来源相同(同一种路由协议发现的);开销相同。
[r1]ip route-static 192.168.1.0 24 12.0.0.2
[r1]ip route-static 192.168.1.0 24 12.1.1.2环回接口
虚拟接口,用于测试
在路由器说那个,通常使用一个或多个环回接口来代表一个真实的用户网段。[r2]interface LoopBack 0 //创建环回接口
[r2-LoopBack0]ip address 192.168.1.254 24 //配置环回接口IP地址手工汇总
运用CIDR技术(无类域间路由)将小的网段汇聚成大的网段
方法:取相同位,去不同位。(其余用0补齐)
满足条件 :母网相同 掩码一致
C类:192.168.0.0-192.168.255.255----256个地址段
*当路由器需要配置多条路由项时,可以选择将其进行子网汇总,减少路由表数量,降低CPU运
算负载,提高转发效率。
[r1]ip route-static 192.168.0.0 22 12.1.1.2路由黑洞
*在手工汇总时,可能会包含一些网络中实际不存在的网段,造成流量有去无回的现象,浪费了
链路资源。 (没有该网段,并丢弃该网段的数据包的路由器称之为 黑洞路由器)
*进行合理的汇总和子网划分。
图鉴上
缺省路由
*一条不限定目标的路由。 (缺省路由指的就是0.0.0.0/0 一是指所有地址,二是代表所有地址)
*当某台路由器上存在多条网段,并且这些网段不易被汇总,或者网段非固定的情况,网络管理
员很难对该路由器上的网段进行精准定位,也就无法在其余设备上配置合理的静态路由。
#使用缺省路由。
[r1]ip route-static 0.0.0.0 0 12.1.1.2*缺省路由是路由表中最后一个被匹配的路由项(排在路由表中第一个位置),若有其余路由项匹配成功,则都不会依靠缺省
路由进行数据转发。
补:缺省路由是路由表中最后一个被匹配的路由项 原因:
根据路由表中路由项匹配原则---掩码大的优先
*在一个网络中,若存在多台路由器具备缺省路由,则缺省路由的配置方向必须相同。 (若相反,就会成环)
*当黑洞路由器和缺省路由(在同一个路由器上)相遇,一定会产生环路。 (数据包会一直转发,成环)
图鉴上
空接口路由-----防止环路
*在存在黑洞的路由器上配置一条通往汇总网段的空接口路由(相当于垃圾堆)。
(如果当黑洞路由器上有目标IP网段,则数据包会正常传给该目标网段
原因:缺省路由掩码为0, 空接口路由掩码为22,而目标网段掩码为24)
[r2]ip route-static 192.168.0.0 22 NULL 0图鉴上
浮动静态路由----具备路由备份的作用
[r1-GigabitEthernet0/0/0]shutdown //关闭接口 undo shutdown 开启接口
[r1]ip route-static 192.168.0.0 22 12.0.0.2 preference 61静态路由作业:
动态路由
自治系统---AS
由单一的机构或组织所管理的一系列IP网络设备的集合。
AS编号:ASN----1-65535----IANA(互联网数字分配机构)
AS的通讯方式
AS内部----运行相同的路由协议----内部网关协议(IGP)
AS之间----具备专用的路由协议进行通讯------边界网关协议(BGP)
动态路由协议分类
按照范围分类
*IGP----内部网关协议(RIP、OSPF、ISIS、EIGRP)
*EGP---外部网关协议
IGP协议按照协议特点分类
*距离矢量型---DV---共享路由表
#RIP----路由信息协议(公有)
#EIGRP----加强型内部网关路由协议(cisco专有)
*链路状态型---LS----共享拓扑
#OSPF---开放式最短路径优先协议
#IS-IS---中间系统到中间系统
IGP协议按照是否携带真实掩码分类
*有类别路由协议----不传递真实掩码(传递主类A、B、C)----RIPv1
*无类别路由协议----传递真实掩码
RIP---路由信息协议 (动态)
基本概念
版本
*RIPv1---IPv4
*RIPv2---IPv4
*RIPng---IPv6
距离矢量型
基于UDP协议进行封装,端口号520。
RIP基于组播进行数据包发送,组播地址--->224.0.0.9
存在周期更新机制----30S周期更新(应答报文)----保活、确认。
RIP的开销值(度量值)----以跳数计算开销值,最大15跳。----开销值越小越优。
*数据包中传递的开销值====本地的开销值+1
RIP算法----贝尔曼福特算法
1. 当接收到数据包中含有本地路由表中没有的路由项时,则直接加载到本地路由表
2. 当接收到的数据包中含有本地路由表已经具备的路由项,且下一跳地址相同,则将数据包中的路由
项更新至本地路由表。
3. 当接收到的数据包中含有本地路由表已经具备的路由项,但下一跳地址不相同,则比较Cost值,若
本地路由表中的cost值大,则将数据包中的路由项更新至本地路由表。
4. 当接收到的数据包中含有本地路由表已经具备的路由项,但下一跳地址不同,比较cost值,若本地
路由表中的cost值较小,则不进行更新。
RIP数据报文
request包---请求报文
response包---应答报文
RIP工作原理
初始化
接收请求
接收响应----路由器完成了RIP协议的收敛工作
常规路由更新和定时
*当路由收敛完成后,路由器会以30S一次的频率发送应答报文。
*邻居路由器收到应答报文时,会设置一个180S的时间(超时时间)。
*如果180S内没有收到邻居路由器发来的应答报文,本地路由器会认为邻居出现问题,并将下
一跳为邻居接口IP地址的路由项的开销值设置为16。并且向自身周围还存在的邻居发送该路由项。
*在经过120S时间后,删除该路由项。
RIP的计时器
更新计时器
*每台启动了RIP协议的路由器都有一个属于自己的更新计时器。
*计时器周期---30S
*注意:当接收到请求报文时,必须立刻发送响应报文
无效计时器
*每台路由器上的每个路由项都会有一个无效计时器。
*计时器时间---更新计时器的六倍----180S-----每次路由条目被更新时,计时器刷新。
*当计时器时间为0时,会认为该路由项已经无效,也就是说该路由项所指的目的地址不可达,
路由器会将该路由项的Cost值设置为16。并向外进行传输。
垃圾收集计时器
*120S
*发送四次周期更新后,删除该路由。
*实际环境中,该计时器的时间并非是120S整,而是在90-120S之间。
路由表中的路由项--->30个;其中cost值小于16的路由项有23个,cost等于16的路由项有7个。共多少计
时器。
解: 首先 RIP协议的路由器都有一个属于自己的更新计时器。
每台路由器上的每个路由项都会有一个无效计时器
当计时器时间为0时,会认为该路由项已经无效
所以共1+23+7=31
RIP周期更新
使用response报文进行更新操作
周期更新原因
*RIP本身没有确认机制和保活机制
*UDP传输是不可靠的传输
RIP环路问题
RIPv1
[r1]rip 1 ----启动RIP协议,并配置进程号,进程号仅具备本地意义。
[r1-rip-1]version 1 -----选择RIP版本
[r1-rip-1]network 12.0.0.0 -----宣告地址,激活接口并发布路由
宣告:
1. 需要宣告所有直连网段
2. 必须按照主类地址宣告
例:
network 后面的ip为10.1.1.0,但实际生效的址为10.0.0.0,因为10.1.1.0的主类地址为10.0.0.0
补:
主类地址(私有地址)
A类:12.1.1.1/24主类地址:12.0.0.0
B类:172.16.1.10124主类地址: 172.16.0.0
C类:192.168.1.10/24 主类地址: 192.168.1.0
RIPv2
[r1]rip 1
[r1-rip-1]version 2
[r1-rip-1]undo summary ----关闭自动汇总功能,如果不关闭,宣告的属于同一个主类的路由就会
自动汇总;该功能在华为上不需要配置,因为华为默认关闭自动汇总功能。
[r1-rip-1]network 192.168.0.0
RIPv1和RIPv2的区别
更新时是否携带掩码
*RIPv1不携带真实掩码
*RIPv2携带真实掩码
RIPv2支持自动汇总功能
更新方式
*RIPv1使用广播发送
*RIPv2使用组播发送,组播地址224.0.0.9
RIPv2支持手工认证
RIP扩展配置
1. 手工汇总
去往多个可以汇总的目标网段范围,且具备相同下一跳,则可以不用具体的多个路由条目,仅写一
条汇总目标的路由即可。
[r1-GigabitEthernet0/0/0]rip summary-address 10.1.0.0 255.255.252.02. 缺省路由
一般配置方向为指向与运营商相连的边界路由器上。
RIP的缺省路由一般配置在边界路由器上。
[r2-rip-1]default-route originate1. 静默接口
配置了静默接口的接口无法主动发送数据包,只能被动接受。----一般配置在连接用户的接口上。
当静默接口接收到RIP报文后,会改变接口状态,恢复数据收发。
[r1-rip-1]silent-interface GigabitEthernet 0/0/02. 手工认证
路由器之间的身份核实,需要同时在双方路由器相连的接口上配置。
[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher 1234561. 加快收敛----减少计时器时间[r1-rip-1]timers rip 10 60 40-----三个时间分别对应更新计时器、无效计时器、垃圾收集计时器,单位S
注意:修改时,三个计时器的时间倍数不要改变。
RIP优缺点
优点:配置简单
缺点:
*占用资源过多----30S周期更新
*选路不佳----RIP仅依靠跳数进行选路
*仅支持小规模网络
*收敛速度慢
RIP实验
OSPF---开放式最短路径优先协议
基本概念
协议使用范围----IGP
链路状态型协议----传递拓扑
传递真实掩码信息----无类别路由协议
OSPF版本
*OSPFv1
*OSPFv2----IPv4
*OSPFv3----IPv6
SPF算法
OSPF传递的是LSA信息(链路状态通告)
OSPF更新方式
*触发更新
*周期链路状态刷新-----30min
OSPF更新地址---组播
*224.0.0.5/224.0.0.6
OSPF开销值===参考带宽/实际带宽(参考带宽默认为100Mbps)
OSPF进行跨层封装----基于IP协议进行封装,协议号89
OSPF区域化结构
OSPF为了适应大中型网络环境,进行了结构化部署------区域划分
区域划分的特点
区域内部传递拓扑信息,区域间传递路由信息。
区域划分是基于路由器接口的。
区域编号----32bit
区域0-----骨干区域
非骨干区域----非0区域
区域划分规则
所有的非骨干区域都必须和骨干区域直接相连----星型拓扑
骨干区域唯一
区域边界路由器----ABR
同时属于多个区域,且至少有一个接口属于骨干区域。
在骨干区域中至少存在一个活跃的邻居。
OSPF数据包类型
hello报文
*用来周期性发现、建立、保活OSPF邻居关系。
*10S发送一次hello报文,来确认邻居的存在
*如果一个dead time时间没有收到邻居发送给自己的hello报文,则认为邻居不存在,dead
time一般为hello时间的四倍,默认情况下为40S。
*Router-ID------RID
#全域唯一,标识路由器的身份
#使用IP地址的表示形式
DBD报文
*数据库描述报文
*包含了所有拓扑的目录信息。
LSR报文
*链路状态请求报文
*请求获取未知的链路信息(LSA信息)
LSU报文
*链路状态更新报文
*携带有真正的LSA信息
LSAck报文
*链路状态确认报文
OSPF七种状态机
down----关闭状态-----一旦启动了OSPF协议,则发出hello报文,进入下一状态
init-----初始化状态----当收到的hello报文中,存在本地RID值时,进入下一状态
2-way-----双向通讯状态-----------邻居关系建立的标志。
条件匹配:匹配成功则进入下一阶段,失败则停留在邻居关系。
exstart----预启动状态-----使用未携带信息的DBD报文进行主从关系选举,RID大的为主
exchange-----准交换----使用携带目录信息的DBD包进行目录共享
loading-----加载状态-----邻居间使用LSR/LSU/LSACK三种报文来获取完整的拓扑信息
full----转发状态----拓扑信息交换完成后进入该状态-----邻接关系建立的标志。
条件匹配
设备接口角色
*指定路由器------DR
*备份指定路由器-----BDR
*其他路由器----DRother
角色之间的关系
*DR与BDR----邻接
*DR与DRother---邻接
*BDR与DRother---邻接
*DRother与DRother----邻居
OSPF条件匹配的情况
*在以太网网络中-----必须进行条件匹配
*在点到点网络中-----不需要进行条件匹配
选举规则
1. 优先级,默认为1,0-255,越大越优
2. RID,越大越优
选举范围
*一个广播域,进行一次条件匹配。
条件匹配是属于非抢占模式-----一旦选举成功,不会因为新加入的设备而重新选举。
OSPF工作过程
OSPF协议启动后,路由器A向本地所有启动了OSPF协议的直连接口,使用组播地址224.0.0.5发送
hello报文。
*该hello报文中携带了本地的全域唯一的RID值。
当对端路由器B接收到该报文后,也会回复hello报文
*该hello报文中携带了A的RID值。
此时,A与B建立邻居关系,并生成邻居表。
邻居关系建立后,邻居之间进行条件匹配,匹配失败则停留在邻居关系,仅使用hello报文保活。
*若匹配成功,则可以开始建立邻接关系。
邻接间共享DBD报文,将本地与邻接之间的DBD报文进行对比,查找本地没有的LSA信息,之后使
用LSR来询问,对端使用LSU回复具体的LSA信息,之后本地使用LSAck报文进行确认。
*该过程全部完成后,生成数据库表(LSDB)。
在之后,本地基于数据库表,启用SPF算法,计算到达所有未知网段的最短路径,然后将其加载到
本地的OSPF路由表中。
*并将OSPF路由表中的部分路由加载到本地全局路由表中。
*此时,路由器完成路由收敛工作。
最后,使用hello报文进行周期保活,并且每30min进行一次链路状态刷新。
基本配置
1. 启动OSPF协议,配置进程号(仅具有本地意义),手工配置RID值
若没有配置RID值,则设备自动生成(环回接口最大IP>物理接口最大IP)
[r1]ospf 1 router-id 1.1.1.12. 配置区域
[r1-ospf-1]area 03. 宣告:激活接口,发布拓扑或路由
宣告网段
[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255*反掩码:32位二进制,使用点分十进制表示,由连续0+连续1
接口宣告方式-----精准宣告
[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0OSPF邻居表
[r2]display ospf peer ---查看OSPF邻居
[r2]display ospf peer brief ----查看OSPF邻居简表OSPF数据库表
[r2]display ospf lsdb -----查看OSPF数据库表OSPF路由表
[r2]display ospf routing ---查看OSPF路由表OSPF优先级====10
reset ospf 1 process -----重置OSPF进程OSPF扩展配置
修改OSPF默认参考带宽
[r2-ospf-1]bandwidth-reference 10000 -----修改参考带宽,两端均需要修改修改接口优先级,从而干涉条件匹配
[r1-GigabitEthernet0/0/0]ospf dr-priority 10 -----在接口修改
[r1-GigabitEthernet0/0/0]ospf dr-priority 0 ---优先级修改为0,代表放弃选举手工汇总
[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.252.0*必须在ABR上配置
*汇总的明细路由来源在那个区域,进入那个区域进行配置
缺省路由
*边界设备上
[r1-ospf-1]default-route-advertise -----非强制性下发,要求边界路由器中存在缺省路由才
可以下发
[r1-ospf-1]default-route-advertise always -----强制性下发,不要求本地存在缺省路由静默接口
*不接受也不发送hello报文,与RIP的静默接口不同。
[r3-ospf-1]silent-interface GigabitEthernet 0/0/1接口认证
[r1-GigabitEthernet0/0/0]ospf authentication-mode ?
md5 Use MD5 algorithm -----MD5认证
null Use null authentication -----不认证----OSPF默认情况
simple Simple authentication mode ------简单认证----明文认证
[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456
[r2-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456加快收敛
[r3-GigabitEthernet0/0/0]ospf timer hello ? -------一端修改,另一端必须修改,若不修改,
则会导致邻居关系无法建立。
INTEGER<1-65535> Second(s)OSPF 实验---开放式最短路径优先协议
ACL技术-----访问控制列表
是一种策略。
对于网络中的流量而言,通常有两种处理方式
允许
拒绝
ACL的原理
配置了ACL的网络设备会根据事先设定好的报文匹配规则对经过该设备的报文进行匹配,然后对报
文执行预先设定好的处理动作。
ACL的功能
*访问控制:在设备的流入或者流出接口上,匹配流量,然后执行设定的动作。
#permit----允许
#deny----拒绝
*抓取流量:因为ACL经常会与其他协议共同使用,所以ACL一般只做匹配流量的作用,而对应的动作由其他协议完成。
ACL的匹配规则
*自上而下,逐条匹配,匹配上则按照预先设定的动作执行,不再向下匹配。
*华为设备ACL访问控制列表最后隐含条件:允许所有。
*cisco设备ACL访问控制列表最后隐含条件:拒绝所有。
ACL分类
*基本ACL
#只能基于IP报文的源IP地址定义规则。
#编号:2000-2999
*高级ACL
#可以基于IP报文的源IP地址、目的IP地址、IP报文协议字段、IP报文优先级、IP报文长
度、TCP源目端口号、UDP源目端口号等一系列信息来定义规则。
#编号:3000-3999
*二层ACL
#4000-4999
*用户自定义ACL
#5000-5999
需求一
要求PC1可以访问192.168.2.0/24,而PC2不可以。
基本ACL配置位置应尽量靠近目标。
*由于基本ACL仅关注数据包中的源IP地址;故配置时尽量靠近目标,避免对其他目的地址访问
产生误伤。
基本ACL配置
*创建ACL列表
[r2]acl 2000
[r2-acl-basic-2000]*设定规则
[r2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 ----拒绝192.168.1.2的地址
通过
通配符:0代表不可变,1代表可变;0和1可以随意穿插。
使用通配符可以精准匹配某一个IP地址或多个IP地址或网段。
[r2-acl-basic-2000]rule permit source any ----允许所有,在ACL的最后配置
[r2]display acl 2000 ----查看ACL配置
[r2-acl-basic-2000]rule 8 permit source 192.168.1.1 0.0.0.0
序列号----序列号用于规定ACL规则的顺序,匹配时,从小到大匹配。
华为默认步长为5。方便插入或删除规则* 调用列表
[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000一个接口的一个方向只能调用一张ACL列表;但是一张ACL列表可以在不同的地方多次调用。
通配符
拒绝192.168.1.2和192.168.1.3
192.168.1.00000010
192.168.1.00000011
0.0.0.00000001=====0.0.0.1
拒绝192.168.1.0/24网段中的所有单数IP地址
192.168.1.0000 0001
192.168.1.0000 0011
192.168.1.0000 0101
192.168.1.0000 0111
...
192.168.1.1111 1111
0.0.0.1111 1110需求二
要求PC1可以正常访问PC3和PC4,而PC2只能访问PC3,不能访问PC4.
高级ACL配置位置应尽量靠近源点。
由于高级ACL对流量进行了精确的匹配,可以避免误伤,所以调用时应该尽快靠近源,减少链
路资源你的占用。-----不需要再网络中进行无用传输。
高级ACL配置
*创建ACL列表
[r1]acl 3000
[r1-acl-adv-3000]*添加规则
[r1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.2.2
0.0.0.0
[r1-acl-adv-3000]rule permit ip source any ----允许所有* 调用
[r1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000需求三
要求R1能够ping通R2的环回,但是不能通过telnet 环回的方式登录R2
基本ACL配置
[r2-acl-adv-3000]rule permit tcp destination 2.2.2.2 0.0.0.0 destination-port eq telnet
[r2-acl-adv-3000]rule deny tcp destination 12.0.0.2 0.0.0.0 destination-port eq telnet
高级ACL配置
[r1]acl 3100
[r1-acl-adv-3100]rule deny tcp source 12.0.0.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 destination
port eq 23
[r1-GigabitEthernet0/0/1]traffic-filter outbound acl 3100
ACL如果配置在流量的发出者本地,则不会对该流量生效
ACL---练习
本文标签: HCIA
版权声明:本文标题:HCIA---day02 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726804666h1031575.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论