OSPF： 开放式最短路径优先协议

无类别链路状态IGP

1.距离矢量性协议：运行距离矢量协议的路由器周期性的泛洪自己的路由表，通过路由的交互，每台路由器从相邻的路由器学习到路由，并且加载进自己的路由表中；对于网络中的所有路由而言，并不清楚网络的结构，只是简单的知道通往某个目的地有多远方向在哪儿，这既是距离矢量型协议的本质。

2.链路状态型协议：与距离矢量协议不同，链路状态型协议通告的是链路状态信息，而不是路由表。运行链路状态型协议的路由器之间会首先建立一个临时的邻居关系，然后彼此之间开始交互LSA（链路状态通告），路由器将收到的LSA信息存储与本地的LSDB（链路状态数据库）中，路由器通过同步后的LSDB便可以掌握全网的拓扑结构。最后，由本地算法计算出到达各个节点的最优路径，加载于本地路由表中。

支持等开销的负载均衡 --（不懂）

基于组播进行更新 224.0.0.5 224.0.0.6

支持触发更新；每30分钟周期更新一次 10s 一次的hello包

需要结构化的部署---区域划分（链路状态型协议的距离矢量性的特征） 地址规划

区域划分的规则：

1.星型结构   骨干区域为0区，大于0为非骨干区域，所有非骨干区域必须接入到骨干区域上

2.ABR---域间路由器  两个/多个区域互联时，必须存在 ABR---同时工作在两个/多个区域之间的路由器

Router-ID （路由器标识符），用于在一个ospf域中唯一的标识一台设备  RID的设定可以通过手工定义或系统自动生成的方式---（一定要手工配置），如果让系统自动生成---优先配置设备环回的最大数值，则使用物理接口的最大数值

使用cost值作为度量值   cost=参考带宽/接口带宽 默认参考带宽为100M；整段路径的cost值之合越小则越佳。若接口带宽大于参考带宽，则 度量值默认为1，所以在接口带宽大于参考带宽的网络中，可以人为的修改参考带宽。

一：ospf 的数据包类型

二：ospf的状态机

三：ospf

四：ospf的基础配置

第七部分：

ospf工作过程

启动配置完成后，本地组播224.0.0.5发送hello包

hello包将携带本地rid值，及本地已知所有邻居的rud值

若接受到来自对端的hello包中存在本端的rid则视为认识，邻居关系建立，并生成邻居表

邻居关系建立后，条件匹配，匹配失败则永远停留于邻居关系，仅hello包保活即可。

若条件匹配成功，则表明可以建立邻接关系

先试用不携带数据库目录的dd包进行主从选举，rid大者为优，优先共享数据库目录。

最后基于本地的lsdb查看对端的dd包得出自己所需的啦信息，通过lsr包去要流速包区给；sack包区确认，最后同步lsdb

之后本地启用spf算法，基于本地的lsdb生产有向图，在计算出最短路径树，在基于树形结构算出本地到达目标位置的最短路径随后加载于本地路由表中，

收敛完成后，hello包保活 每30min周期更新一次

30min的周期更新：每30min邻接关系之间进行dd包的对比，若一直则继续保活，若不一致则重新收敛。

ospf基础配置

例R1——

Ospf 1 router-id 1.1.1.1  创建ospf进程 进程号为1 RID为1.1.1 .1

Area 0 进入0区

Network 1.1.1.1 0.0.0.0  

Network 12.1.1.0 0.0.0.255

反掩码   192.168.1.128/25   255.255.255.128 255.255.255.255-255.255.255.128=0.0.0.127

 10.10.1.2 255.255.255.252 0.0.0.3

Display ospf peer brief 查看邻居表

Display ospf lsdb 查看数据库表Display ospf lsdb router 2.2.2.2

Bandwidth-reference  ？修改参考带宽

 

 

 

ospf的扩展配置

①从邻居关系建立成为邻接关系的条件

网络类型----

1.点到点的网络：在一个网段内仅支持存在两个节点

2.MA：多路访问---在一个网段内存在的节点不限

ospf在点到点的网络类型中所有邻居将直接成为邻接关系

在MA的网络类型中，若所有的设备间均为邻接关系将会产生大量的重复更新，故进行DR/BDR的选举，所有非DR/BDR设备之间将维持邻居关系。

选举规则：

①先比较参选设备的接口的优先级，默认1；范围0-255，数值大为优

②若参选接口的优先级相同，比较参选设备的RID，数值大为优。

DR/BDR是非抢占性的，故所需要网段内进行重新选举时，需要重启该网段内的所有参选设备的ospf进程；若参选接口优先级为0，默认放弃参选；一个网段至少

Reset ospf process 重启ospf进程

手工认证

Ospf authentication- mode md5 1 cipher 66666 认证模式和认证模式的编号和认证的密码

手工汇总---区域汇总；在ABR（域间路由器）上将A区域的路由汇总后共享到B区域

R2中

Ospf 1

Area 0

Abr-summary 1.1.0.0 255.255.252.0

 

沉默接口

Silent- interface g 0/0/1

加快收敛---修改计时器

修改一台设备的某个接口的hellotime后，该接口的deadtime将自动关闭匹配。  邻居间直连接口的hellotime和deadtime若不一致，将不能建立邻居关系。不建议修改的过小  不建议修改

G 0/0/0

Ospf timer hello  ?

缺省路由

R3中

Ospf 1

Default-route-advertise always 强制下发缺省路由

 

 

 

划分区域---

 拿设备中的id配

同下ospf dr-priority 0

0

R3   （不全）

 

 

 

ospf 1 router-id 192.168.1.65

Area 0

 

 

手工认证

R1,r2,r3同下r3和r4的

 

 

 

 

 

手工汇总

 

192.168.1.0/25             192.168.1.128/30

192.168.1.128/30（全0不能用） 192.168.1.129/30 192.168.1.130/30 192.168.1.131/30（全1不能用）

192.168.1.

192.168.1.0/26   192.168.1.64/26

VLAN：虚拟局域网-----交换机和路由器协同工作后，将原先的

LAN：局域网   MAN：城域网  WAN:广域网  

VLAN  lan=广播域

在同一个广播域之下，广播消息会传达给不应当收到消息的人

VID---VLAN ID 由12位二进制构成 范围0-4095 0和4095为保留值

将接口划入VLAN

一：基于端口的VLAN

二：基于MAC的VLAN

三：基于协议的VLAN

Display Mac-address  --- 查Mac地址表

配完以后变成两个广播域‘所以要分两个网段

Arp-a

Interface g 0/0/0.1 进入g0/0/0这个物理接口的子接口

Ip address---

Dot1q termination vid 2 ---

Arp broadcast enable ----

写静态时，两个路由器都要写

ACL

R2中

Acl  2000

Rule deny source 192.1668.1.2 0.0.0.0

 

 

通配符 0代表没有变化 1代表有一种变化 符合要求的通过 不匹配的不通过

 

 

 

 

Telent

 

 

 

ACL不会-----

 

 

 

ACL：访问控制列表 

1访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝  

定义感兴趣流量-----帮助其他软件抓流量 

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展 

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000 

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过  

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0 

在关注源/目标IP地址的同时，在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作 

条件：1.登录设备与被登陆设备之间必须可达

被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet 

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为  

 

 

 

 

 

PC1,R2

 

 

 

 

ACL：访问控制列表 

1访问控制----在路由器的入或者出的接口上，匹配流量，之后产生动作---允许或拒绝  

定义感兴趣流量-----帮助其他软件抓流量 

匹配规则：

至上而下，逐一匹配，上调匹配按照上条执行，不在查看下条。在华为体系中末尾隐含允许所有，在思科体系中，末尾隐含拒绝所有。

分类：

标准---仅关注数据包中的源IP地址

扩展---关注数据包中的源 目标IP地址  协议号 端口号

标准ACL中，由于标准ACL仅关注数据包中的源IP地址，故越靠近目标越好，可以尽可能的避免误杀。

2000-2999  标准           3000-3999 扩展 

注意：一个编码是一张规则，一张规则可以容纳大量具体的规则

 [R2]acl 2000

[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0

ACL在地址匹配时，会使用通配符

255.255.255.0   0.0.0.255     他可以进行0 1 的穿插

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 在该接口的出方向上调用acl2000 

[R2-acl-basic-2000]rule permit source any   规定 允许  所有IP通过  

[R2]ACL name classroomA

扩展ACL

关注数据包中的源IP以及目标IP

由于扩展ACL可以对数据流量进行精确分析，故越靠近源越好。

[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2  0.0.0.0 

在关注源/目标IP地址的同时，在关注目标端口号

Telnet---远程登录   基于TCP23号端口工作 

条件：1.登录设备与被登陆设备之间必须可达

被登陆设备必须开启telnet设定

[R2]aaa 进入aaa服务

[R2-aaa]local-user ABC privilege level 15 password cipher 123456

[R2-aaa]local-user ABC service-type telnet 

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R1-acl-adv-3000]rule  deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

规定  拒绝 tcp行为中的  源192.168.4.1 向目标 192.168.2.2 的 端口号为23的行为 

[R1-acl-adv-3000]rule 7 deny icmp source 192.168.4.1 0.0.0.0 destination 192.168.3.1 0.0.0.0

规则7 拒绝 源IP 192.168.4.1 向 目标IP 192.168.3.1 的ICMP行为  

一个接口的入或者出方向上  只能调用一张acl表格

NAT：网络地址转换 

公有IP和私有IP的区别

公有IP----全球唯一  可以你在互联网中通信  付费使用

私有IP----本地唯一  不能在互联网中通信  免费试用

A类：10.0.0.0---10.255.255.255 

B类：172.16.0.0------172.31.255.255

C类：192.168.0.0-----192.168.255.255    

NAT-----网络地址转换，在边界路由器上，进行公有地址和私有地址间的转化 

NAT的分类： 静态NAT  动态NAT  NAPT  端口映射

在华为设备中 NAT的全部配置 一定是在边界路由器的出的接口方向上。

 静态NAT：

我们在私网的边界路由器上建立并维护一张静态地址表，静态地址表映射了公有地址和私有地址间 一一对应的关系

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.1 inside 192.168.1.2    

[R2]display  nat static  查询nat映射关系 

动态NAT

静态NAT和动态NAT最大的区别在于---地址映射表的内容是可变化的，而不是写死的，所以动态NAT不在意一对一的关系，而是实现多对多的转化。

使用端口进行分辨 转化的形式----NAPT（端口地址转化）也叫PAT   

为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题，在边界路由器上维护一张源端口号和私网IP地址的映射关系表，因为端口号的取值范围是1-65535，故有65535个，所以NAPT同时支持通过的数据包的最大量即为65535个，这就形成了一对多的动态NAT，华为中称这种NAPT为EASY IP。 当上网需求非常大时，一个公网IP可能不够用，我们也可以同时使用多个公网IP，这样就能形成65535的倍数增长，形成多对多的NAPT。

一对多

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

[R2-GigabitEthernet0/0/1]nat outbound 2000

多对多

创建公网地址池

[R2]nat address-group 1 12.1.1.2  12.1.1.10

其中包含  12.1.1.12------12.1.1.10 

注意：1.必须是公网  2.必须是连续的IP 

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

在该接口上  将acl2000定义的感兴趣流量 交给公网地址池 1 进行NAT转化

No-pat   添加则代表为静态多对多  不添加则是动态多对多 

静态多对多：多个一对一

动态多对多：多个一对多

端口映射

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.2.10  80

[R2-GigabitEthernet0/0/1]nat  server  protocol tcp global current-interface 8080  inside 192.168.2.20 80