1 dhcp request:由用户发向服务器的广播报文,目的是用来通知其他的服务器,主机使用了谁的地址,是否使用他们发送的IP地址。同时该报文还有续租的作用。
2 DHCP 租期:目的是合理有效的使用IP地址。分配给客户端的IP地址都是有租期的,当达到租期一半的时候,客户端就会自动触发续租消息(dhcp request报文)
3 dhcp高级报文
4 DHCP配置:
**Ⅰ:全局建立地址池**
[R1]ip pool 1
[R1-ip-pool-1] gateway-list 192.168.1.1
[R1-ip-pool-1] network 192.168.1.0 mask 24
[R1-ip-pool-1] dns-list 8.8.8.8
[R1]int gi0/0/0
[R1-GigabitEthernet0/0/0] dhcp select global
修改租期:(可选)
[R1]ip pool 1
[R1-ip-pool-1]lease day 0 hour 20
ip和mac绑定(可选)
[R1]ip pool 1
[R1-ip-pool-1]static-bind ip-address 192.168.1.23 mac-address 5489-98D8-0B0C
排除地址段(可选)
[R1]ip pool 1
[R1-ip-pool-1]excluded-ip-address 192.168.1.250 192.168.1.254
调试指令:
[R1]dis ip pool name 1 used //查看pool 1 地址池中已经被使用的地址
<>reset ip pool name 1 used //重置IP地址池
Ⅱ:基于接口的DHCP(简单、便捷)
[R1]int gi0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[R1-GigabitEthernet0/0/0]dhcp select interface
[R1-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8
Ⅲ:dhcp relay (dhcp中续)
交换机配置vlan和trunk口
SW2
[SW2]vlan 10
[SW2]int e0/0/2
[SW2-Ethernet0/0/2]port
[SW2-Ethernet0/0/2]port link-type access
[SW2-Ethernet0/0/2]port default vlan 10
[SW2-Ethernet0/0/2]int e0/0/1
[SW2-Ethernet0/0/1]port link-type trunk
[SW2-Ethernet0/0/1]port trunk allow-pass vlan 10
SW3
[SW3]vlan 20
[SW3-vlan20]int e0/0/2
[SW3-Ethernet0/0/2]port link-type access
[SW3-Ethernet0/0/2]port default vlan 20
[SW3-Ethernet0/0/2]int e0/0/1
[SW3-Ethernet0/0/1]port link-type trunk
[SW3-Ethernet0/0/1]port trunk allow-pass vlan 20
[SW3-Ethernet0/0/1] User interface con0 is available
SW1
[SW1]vlan batch 10 20 800
[SW1]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10
[SW1]int vlan 10
[SW1-Vlanif10]ip add 192.168.10.1 24
[SW1-Vlanif10]int gi0/0/3
[SW1-GigabitEthernet0/0/3]port link-type trunk
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 20
[SW1-GigabitEthernet0/0/3]int vlan 20
[SW1-Vlanif20]ip add 192.168.20.1 24
[SW1-GigabitEthernet0/0/3]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 800
[SW1-GigabitEthernet0/0/1]ip add 192.168.254.1 24
R1_DHCP server
[R1_DHCP]int gi0/0/0
[R1_DHCP-GigabitEthernet0/0/0]ip add 192.168.254.2 24
[R1_DHCP-GigabitEthernet0/0/0]dhcp select global
[R1]ip route-static 0.0.0.0 0 192.168.254.1
[R1_DHCP]dhcp enable
[R1_DHCP]ip pool vlan_10
[R1_DHCP-ip-pool-1]network 192.168.10.0 mask 24
[R1_DHCP-ip-pool-1]gateway-list 192.168.10.1
[R1_DHCP-ip-pool-1]dns-list 8.8.8.8
[R1_DHCP]ip pool vlan_20 //每个网段创建一个地址池
[R1_DHCP-ip-pool-2]network 192.168.20.0 mask 24
[R1_DHCP-ip-pool-2]gateway-list 192.168.20.1
[R1_DHCP-ip-pool-2]dns-list 8.8.8.8
此时主机还不能获取到IP地址(主机报文:0.0.0.0-->255.255.255.255 ,而vlan是隔离广播的)
[SW1]dhcp enable
[SW1]int vlan 10
[SW1-Vlanif10]dhcp select relay
[SW1-Vlanif10]dhcp relay server-ip 192.168.254.2 //当广播报文发送到SW1时,目标地址会被转换成192.168.254.2
[SW1-Vlanif10]int vlan 20
[SW1-Vlanif20]dhcp select relay
[SW1-Vlanif20]dhcp relay server-ip 192.168.254.2
SW2 e0/0/1抓取报文(回包内容中有192.168.10.1目标)
SW1 gi0/0/1抓取报文
5 DHCP sonnping(DHCP 监控):组织某些非法DHCP server给主机分配IP地址。
基础配置
R1合法DHCP server配置:
[R1]dhcp enable
[R1]int gi0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[R1-GigabitEthernet0/0/0]dhcp select interface
[R1-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8
R2非法DHCP server配置
[R2]dhcp enable
[R2]int gi0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.31.1 24
[R2-GigabitEthernet0/0/0]dhcp select interface
[R2-GigabitEthernet0/0/0]dhcp server dns-list 9.9.9.9
DHCP Snooping配置:
接入层SW1
[SW1]dhcp enable
[SW1]dhcp snooping enable
[SW1]dhcp snooping enable vlan 1
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]dhcp snooping trusted //将上联接口配置为信任接口
DHCP snooping工作原理:一旦针对某vlan开启了dhcp snooping,那么该vlan的所有接口默认都是非信任接口。非信任接口收到dhcp的offer报文会直接丢弃。
6 BFD:Bidirectional Forwarding Detection,双向转发检查
作用:毫秒级故障检查,通常结合三层协议(如静态路由、vrrp、ospf、BGP等)实现链路故障快速检查。
基础配置:
R1:
[R1]int gi0/0/0
[R1-GigabitEthernet0/0/0]ip add 12.1.1.1 24
[R1-GigabitEthernet0/0/0]int gi0/0/1
[R1-GigabitEthernet0/0/1]ip add 21.1.1.1 24
[R1-GigabitEthernet0/0/1]int loop 1
[R1-LoopBack1]ip add 1.1.1.1 24
冗余配置:
[R1]ip route-static 2.2.2.0 24 12.1.1.2 //静态路由的优先级默认为60
[R1]ip route-static 2.2.2.0 24 21.1.1.2 preference 70
Info: Succeeded in modifying route.
R2:
[R2]int gi0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[R2-GigabitEthernet0/0/0]int gi0/0/1
[R2-GigabitEthernet0/0/1]ip add 21.1.1.2 24
[R2-GigabitEthernet0/0/1]int loopback 1
[R2-LoopBack1]ip add 2.2.2.2 24
冗余配置:
[R2]ip route-static 1.1.1.0 24 12.1.1.1
[R2]ip route-static 1.1.1.0 24 21.1.1.1 preference 70
Info: Succeeded in modifying route.
BFD配置:
R1配置:
[R1]bfd //全局bfd使能
[R1-bfd]q
[R1]bfd 1 bind peer-ip 12.1.1.2 source-ip 12.1.1.1 //配置bfd组1
[R1-bfd-session-1]discriminator local 1 //本地标识 1-->12.1.1.1 标识需要互为对称
[R1-bfd-session-1]discriminator remote 2 //远端标识 2-->12.1.1.2
[R1-bfd-session-1]commit //确认提交
[R1]ip route-static 2.2.2.0 24 12.1.1.2 track bfd-session 1 //调用bfd组1的功能
R2配置:
[R2]bfd //全局bfd使能
[R2-bfd]q
[R2]bfd 1 bind peer-ip 12.1.1.1 source-ip 12.1.1.2 //配置bfd组1
[R2-bfd-session-1]discriminator local 2 //本地标识 2-->12.1.1.2
[R2-bfd-session-1]discriminator remote 1 //远端标识 1-->12.1.1.1 标识需要互为对称
[R2-bfd-session-1]commit //确认提交
[R2]ip route-static 1.1.1.0 24 12.1.1.1 track bfd-session 1 //调用bfd组1的功能
实验调试结果:
7 ospf调用bfd加快收敛
两台路由器配置ospf(略) 然后启用bfd
ospf 1
bfd all-interface enable
7 端口安全
[SW1]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port-security enable //开启端口安全,该端口就只允许一个mac地址通信
[SW1-GigabitEthernet0/0/2]port-security mac-address sticky //开启mac地址自动粘贴,第一个用户的mac地址会自动被粘贴到该接口
[SW1-GigabitEthernet0/0/2]port-security mac-address sticky 5489-982B-36AB vlan 1 //手动粘贴5489-982B-36AB到该接口
[SW1-GigabitEthernet0/0/2]port-security protect-action shutdown //将保护动作改为shutdown
调试结果:
8 端口镜像:
作用:Ⅰ:用来方便管理员维护查看网络流量
Ⅱ:用来配合IDS、堡垒机等安全设备使用
入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
[SW1]observe-port 1 interface GigabitEthernet 0/0/3 //将gi0/0/3配置为观察口 1为观察组
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port-mirroring to observe-port 1 both //将gi0/0/1口出入的流量复制一份发给观察组1
8 高级地址的配置之基于MAC地址的vlan
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2]vlan batch 10 20
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2-GigabitEthernet0/0/2]int gi0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2-GigabitEthernet0/0/3]int gi0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW1]vlan batch 10 20
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW1]vlan 10
[SW1-vlan10]mac-vlan mac-address 0000-0000-0001
[SW1-vlan10]vlan 20
[SW1-vlan20]mac-vlan mac-address 0000-0000-0002
[SW1]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20 //配置混合接口
[SW1-GigabitEthernet0/0/2]mac-vlan enable //启用基于mac地址学习vlan
调试:
9 高级地址的配置之基于IP子网的vlan
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2]vlan batch 10 20
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2-GigabitEthernet0/0/2]int gi0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20
[SW2-GigabitEthernet0/0/3]int gi0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW1]vlan batch 10 20
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 20
[SW1]vlan 20
[SW1-vlan20]ip-subnet-vlan 1 ip 192.168.20.0 24
[SW1-vlan20]vlan 10
[SW1-vlan10]ip-subnet-vlan 1 ip 192.168.10.0 24
[SW1-vlan10]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 20 //配置混合接口
[SW1-GigabitEthernet0/0/2]ip-subnet-vlan enable
调试
11 超级vlan
12 相同vlan 端口隔离
13 valn mapping (valn 转换)
SW3和SW4个端口划分vlan 交换机和交换机之间用trunk口相连
SW1配置:
[SW1]vlan 100
[SW1-vlan100]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port link-t access
[SW1-GigabitEthernet0/0/1]port de vlan 100
[SW1-GigabitEthernet0/0/1]int vlan 100
[SW1-Vlanif100]ip add 192.168.1.254 24
SW2配置:
[SW2]vlan batch 30 31 32 100
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port link-type trunk
[SW2-GigabitEthernet0/0/2]port tr all vlan 30 31
[SW2-GigabitEthernet0/0/2]int gi0/0/3
[SW2-GigabitEthernet0/0/3]port link-type trunk
[SW2-GigabitEthernet0/0/3]port tr all vlan 32
[SW2-GigabitEthernet0/0/3]int gi0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port tr all vlan 100
[SW2-GigabitEthernet0/0/1]qinq vlan-translation enable //在此接口启用vlan转换功能
[SW2-GigabitEthernet0/0/1]port vlan-mapping vlan 30 to 39 map-vlan 100 //将用户vlan为30-39的全部转换为100
注:trunk口封装:802.1q 协议
14 hybrid 混合接口:hybrid接口是一种混合接口,是华为设备特有的接口。华为交换设备默认的接口封装类型。hybrid接口具备access和trunk的两种功能。
hybrid当trunk口使用时:
[SW1]vlan batch 10 20
[SW1]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10
[SW1-GigabitEthernet0/0/2]int gi0/0/3
[SW1-GigabitEthernet0/0/3]port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/3]port hybrid untagged vlan 20
[SW2]vlan batch 10 20
[SW2]int gi0/0/2
[SW2-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[SW2-GigabitEthernet0/0/2]port hybrid untagged vlan 10
[SW2-GigabitEthernet0/0/2]int gi0/0/3
[SW2-GigabitEthernet0/0/3]port hybrid pvid vlan 20
[SW2-GigabitEthernet0/0/3]port hybrid untagged vlan 20
hybrid当trunk使用时:
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20
[SW2]int gi0/0/1
[SW2-GigabitEthernet0/0/1]port hybrid tagged vlan 10 20
调试:
15 使用hybrid实现特殊通信
[SW1]vlan batch 10 20 30
[SW1]int gi0/0/1
[SW1-GigabitEthernet0/0/1]port hybrid pvid vlan 30
[SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 10 20 30
[SW1-GigabitEthernet0/0/1]int gi0/0/2
[SW1-GigabitEthernet0/0/2]port hybrid pvid vlan 10
[SW1-GigabitEthernet0/0/2]port hybrid untagged vlan 10 30
[SW1-GigabitEthernet0/0/2]int gi0/0/3
[SW1-GigabitEthernet0/0/3]port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/3]port hybrid untagged vlan 20 30
15 SSH:Secure Shell
SSH:安全的远程控制协议,端口TCP22号端口。
特点:传输数据时加密,Linux服务器也经常使用。
[R1]aaa //进入aaa认证模式
[R1-aaa]local-user aa password cipher aa123 privilege level 3 //创建账户
Info: Add a new user.
[R1-aaa]local-user aa service-type ssh //设置aa账号是ssh服务
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa //使用aaa里面的用户名和密码进行验证
[R1-ui-vty0-4]protocol inbound ssh
[R1]stelnet server enable //开启stelnet(SSH)的功能
通过终端登陆R1
调试:
通过路由器登陆R1
16 MSTP:
Muliti STP:多生成树协议,(华为交换机默认运行mstp)
工作原理:将多个vlan捆绑在一起,运行在一个STP实例里面,不同实例间的STP相互独立。
注:默认情况下所有vlan都在实例0里面。
基础配置:
SW1到SW3接PC的用access口并划入相应vlan,交换机之间用trunk口,例SW3:
[SW3]vlan batch 10 20
[SW3]int gi0/0/1
[SW3-GigabitEthernet0/0/1]port link-t tr
[SW3-GigabitEthernet0/0/1]po tr all vlan all
[SW3-GigabitEthernet0/0/1]int gi0/0/2
[SW3-GigabitEthernet0/0/2]port link-t tr
[SW3-GigabitEthernet0/0/2]po tr all vlan all
[SW3-GigabitEthernet0/0/2]int gi0/0/3
[SW3-GigabitEthernet0/0/3]port link-t acc
[SW3-GigabitEthernet0/0/3]port de vlan 10
[SW3-GigabitEthernet0/0/3]int gi0/0/4
[SW3-GigabitEthernet0/0/4]port link-t acc
[SW3-GigabitEthernet0/0/4]port de vlan 20
MSTP配置:
所有交换机配置
[SW3]stp region-configuration
[SW3-mst-region]instance 1 vlan 10 //vlan 10 划入实例1
[SW3-mst-region]instance 2 vlan 20 //vlan 20 划入实例2
[SW3-mst-region]active region-configuration //配置生效
Info: This operation may take a few seconds. Please wait for a moment...done.
实例1根桥设置(实质是改变了stp的优先级)
[SW1]stp instance 1 root primary //主根桥(当实例1的流量通过时,SW1优先级为0)
[SW2]stp instance 1 root secondary //第二根桥(备份,优先级为4096)
实例2根桥设置
[SW2]stp instance 2 root primary //主根桥(当实例2的流量通过时,SW2优先级为0)
[SW1]stp instance 2 root secondary //第二根桥(备份,优先级为4096)
调试:
17 VRRP+MSTP:实现二层和三层的冗余
VRRP的配置:(vlan、access、trunk略)实现三层冗余
[SW1]int vlan 10
[SW1-Vlanif10]ip add 192.168.10.253 24
[SW1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 //配置虚拟网关
[SW1-Vlanif10]vrrp vrid 1 priority 105 //配置SW1作为vlan 10 的主路由
[SW1-Vlanif10]int vlan 20
[SW1-Vlanif20]ip add 192.168.20.254 24
[SW1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1 //配置虚拟网关作为vlan 20 的备份路由
[SW2]int vlan 10
[SW2-Vlanif10]ip add 192.168.10.253 24
[SW2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 //配置虚拟网关作为vlan 10 备份路由
[SW2]int vlan 20
[SW2-Vlanif20]ip add 192.168.20.253 24
[SW2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1
[SW2-Vlanif20]vrrp vrid 2 priority 105 //配置SW2作为vlan 20 的主路由
MSTP配置:实现二层冗余
SW1、SW2、SW3
[SW3]stp region-configuration
[SW3-mst-region]instance 1 vlan 10 //vlan 10 划入实例1
[SW3-mst-region]instance 2 vlan 20 //vlan 20 划入实例2
[SW3-mst-region]active region-configuration //配置生效
实例1根桥设置(实质是改变了stp的优先级)
[SW1]stp instance 1 root primary //主根桥(当实例1的流量通过时,SW1优先级为0)
[SW2]stp instance 1 root secondary //第二根桥(备份,优先级为4096)
实例2根桥设置
[SW2]stp instance 2 root primary //主根桥(当实例2的流量通过时,SW2优先级为0)
[SW1]stp instance 2 root secondary //第二根桥(备份,优先级为4096)
[SW1]int vlan 20
[SW1-Vlanif20]vrrp vrid 1 track interface gi0/0/1
[SW2]int vlan 20
[SW2-Vlanif20]vrrp vrid 2 track interface gi0/0/1
18 OSPF:open shortest path first 开放式最短路径优先
基础配置:各端口加入相应的IP
area 0:骨干区域(核心区域)
area 1 2 ... 常规区域
注:常规区域必须和骨干区域直接相连,三类LSA在非主干区域内只收不送(避免区域间路由环路)
区域间路由的传递规则:
Ⅰ:区域内的路由器只会更新三类LSA的路由开销然后传递给区域内的下一个路由器
Ⅱ:ABR才会对三类LSA进行重新计算泛洪到相邻的区域
自治系统:AS是指由同一个技术管理机构管理,使用统一选路策略的一些路由器的集合。(例如ospf区域和rip区域都是自治系统)
ABR:area border router 区域边界路由(如:R2、R3):指主干区域和非主干区域的边界路由
ASBR:auto-system border router 自治系统边界路由(如:R5):引入外部路由的ospf路由器
OSPF配置:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]network 1.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.1]network 12.1.1.0 0.0.0.255
[R2]ospf 1
[R2-ospf-1]area 1
[R2-ospf-1-area-0.0.0.1]network 12.1.1.0 0.0.0.255
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.2.2.0 0.0.0.255
[R3]ospf 1
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 23.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]area 2
[R3-ospf-1-area-0.0.0.2]network 192.168.1.0 0.0.0.255
[R4]ospf 1
[R4-ospf-1]area 2
[R4-ospf-1-area-0.0.0.2]network 192.168.1.0 0.0.0.255
[R4-ospf-1-area-0.0.0.2]network 4.4.4.0 0.0.0.255
[R5]ospf 1
[R5-ospf-1]area 2
[R5-ospf-1-area-0.0.0.2]network 192.168.1.0 0.0.0.255
[R5-ospf-1-area-0.0.0.2]network 5.5.5.0 0.0.0.255
19 router id:标识运行ospf的路由器的身份id,不能重复。
选举策略:手动指定最优先,如果没有指定则选择环回接口,没有环回口则选取物理接口(接口地址越大越优先)。
华为设备:手动指定最优先,最先up的接口最优先。
手动指定:此法只能在ospf刚启动的时候选举(用此方法把所有路由器的router id 配置成它的loop back接口地址)
[R3]router id 3.3.3.3 //给动态路由协议指定router id
Info: Router ID has been modified, please reset the relative protocols manually
to update the Router ID.
<R3>reset ospf process //重启ospf
Warning: The OSPF process will be reset. Continue? [Y/N]:y
20 ospf无法建立邻居的原因:
Ⅰ:两台路由器router id 一致
Ⅱ:两台路由器中间直连的网段必须宣告在相同的area区域
Ⅲ:认证的类型、密码必须一致
Ⅳ:直连必须可以通讯
Ⅴ:ospf邻居之间的特殊区域标识必须一致
21 ospf的路由优先级:preference:10 (默认)
22 三张表:
邻居表 拓扑表 路由表
邻居表:
拓扑表:
路由表:
23 ospf排错
24 动态路由:
距离矢量类路由协议:distance-vector :Rip BGP
链路状态类路由协议:link-state :ospf ISIS
25 ospf 邻居建立过程
down--->init--->two-way--->ex-start--->ec-change--->lodading--->full
init:初始化状态,开始交互hello报文
two-way:路由器双方都得到对方的router-id (建立了邻居关系)
ex-start:准备交互DBD描述报文,同时选举DR和BDR(两个DBD报文)
DR和BDR的选举是基于接口的:1.接口的DR优先级越大约优先,2.优先级相同时router id越大越优先。(优先级为0不参与选举,当已经选举出了DR/BDR时,后面有更高优先级的路由接入时,保持原有状态。because:DR已经学习了邻居的路由信息,更换DR可能会产生网络震荡)
ex-change:交互DBD描述报文(两个DBD报文)
loading:加载状态,请求对方的完整的明细路由(LSR、LSU报文)
full:完全邻接状态,双方数据库同步(建立了邻接关系)(DBD报文:seq=y+1)
注:查看ospf形成邻居的几个状态
邻居关系建立的两种方式:
Ⅰ:单播建立:对于不支持组播的网络可以手动单播建立邻居关系,例如:NBMA网络不支持广播和组播
[R1]ospf 1
[R1-ospf-1]pe
[R1-ospf-1]peer 2.2.2.2
Ⅱ:组播建立:组播地址通常为224.0.0.5(所有的路由器都可以接收)和224.0.0.6(只有DR和BDR可以接收)
[R1]in en //打开信息中心
Info: Information center is enabled.
[R1]q
<R1>debugging ospf event //调试ospf
<R1>terminal debugging //终端调试
Info: Current terminal debugging is on.
<R1>reset ospf process //重启ospf
26 ospf的路由引入(import);思科叫做路由重分布(重分发)
在前面实验的基础上继续配置
[R5]int gi0/0/1
[R5-GigabitEthernet0/0/1]ip add 57.1.1.5 24
[R5]rip 1
[R5-rip-1]version 2
[R5-rip-1]network 57.0.0.0
[R5-rip-1]net 8.0.0.0
[R5-rip-1]undo summary
[R7]int gi0/0/0
[R7-GigabitEthernet0/0/0]ip add 57.1.1.7 24
[R7]int loop 1
[R7-LoopBack1]ip add 7.7.7.7 24
[R7]rip 1
[R7-rip-1]version 2
[R7-rip-1]net 7.0.0.0
[R7-rip-1]net 57.0.0.0
[R7-rip-1]undo summary
注:不同的路由协议之间默认不能直接传递路由,若想传递还需import引入。
[R5]ospf 1
[R5-ospf-1]import-route rip //将rip引入ospf
[R5]rip 1
[R5-rip-1]import-route ospf //将ospf引入rip
双向引入完成
调试:
将ospf引入rip
将rip引入ospf
引入的路由O_ASE:ospf autosystem external,ospf自制系统外部路由。
向ospf区域引入缺省路由
[R3]int gi0/0/2
[R3-GigabitEthernet0/0/2]ip add 38.1.1.3 24
[R3]ip route-static 0.0.0.0 0 38.1.1.8
[R3]ospf 1
[R3-ospf-1]default-route-advertise always //将缺省路由引入ospf
[R8]int gi0/0/0
[R8-GigabitEthernet0/0/0]ip add 38.1.1.8 24
[R8]ip route-static 0.0.0.0 0 38.1.1.3
注:always无论R3是否有缺省路由存在,R3总会向ospf区域下发缺省路由。
27 ospf路由汇总
作用:精简路由表的大小,减少路由器计算资源的开销
Ⅰ:区域间的汇总(必须在ABR上汇总)R2:ABR
1.1.1.0/24
1.1.2.0/24
1.1.3.0/24
1.1.000000 01.0
1.1.000000 10.0
1.1.000000 11.0
1.1.0.0/22
1.1.0.0 255.255.252.0
[R2]ospf 1
[R2-ospf-1]area 1 //明确路由所在区域
[R2-ospf-1-area-0.0.0.1]abr-summary 1.1.0.0 255.255.252.0
调试:
Ⅱ:自制系统间的汇总(必须在ASBR上汇总)R5:ASBR //自制系统间的路由汇总也叫外部路由汇总
7.7.7.0
7.7.8.0
7.7.9.0
7.7.0000 0111.0
7.7.0000 1000.0
7.7.0000 1001.0
7.7.0.0/20
7.7.0.0 255.255.240.0
[R5]ospf 1
[R5-ospf-1]asbr-summary 7.7.0.0 255.255.240.0
调试:
28 ospf LSA(链路状态信息)类型:
LSA:link state advertise,LSA报文是包含在LSU(链路状态更新)报文里面的。
29 ospf特殊区域
对于OSPF各区域,可分为两种类型:
Ⅰ:传输区域:除了承载本区域发起的流量和访问本区域的流量外,还承载了源IP和目的IP都不属于本区域的流量,即“穿越型流量”,如Area0。
Ⅱ:未端区域:只承载本区域发起的流量和访问本区域的流量,如Area1。
Ⅰ:stub Ⅱ:totally stub Ⅲ:NSSA Ⅳ:totally NSSA
Ⅰ:stub 末节区域:收不到五型的las
[R3]ospf 1
[R3-ospf-1]un default-route-advertise //取消将缺省路由引入ospf
[R5]ospf 1
[R5-ospf-1]dis th
[V200R003C00]
#
ospf 1
asbr-summary 7.7.0.0 255.255.240.0
import-route rip 1
area 0.0.0.2
network 5.5.5.0 0.0.0.255
network 192.168.1.0 0.0.0.255
#
return
[R5-ospf-1]
[R5-ospf-1]un as
[R5-ospf-1]un asbr-summary 7.7.0.0 255.255.240.0 //取消路由汇总
特殊区域配置:
R1和R2:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]stub
特殊区域的作用:拒绝五型LSA,减少路由表的大小,减轻末节路由器的负担。
注:特殊区域的ABR路由器会自动形成缺省路由发送给Stub区域中的其他路由器。
路由表中虽然没有7.7.0.0的路由但还是可以访问7.7.0.0,原因是在配置了特殊区域以后它会自动的生成一条缺省路由。
Ⅱ:totally stub:完全末节区域拒绝3、4、5型LSA
R1和R2:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]stub no-summary
Ⅲ:NSSA:no so stub area 拒绝5型的LSA,但是会放行后面的其他自制系统的路由即“小尾巴”,“小尾巴”的路由会通过7型的LSA透传Stub区域。NSSA区域和Stub区域有许多相似的地方。两者的差别在于,NSSA区域能够将自治域外部路由引入并传播到整个OSPF自治域中,同时又不会学习来自OSPF网络其它区域的外部路由。
[R1]int loop 9
[R1-LoopBack9]ip add 9.9.9.9 24
[R1]rip 1
[R1-rip-1]undo summary
[R1-rip-1]version 2
[R1-rip-1]net 9.0.0.0
[R1]ospf 1
[R1-ospf-1]import-route rip
[R1-ospf-1]dis th
[V200R003C00]
#
ospf 1
import-route rip 1
area 0.0.0.1
network 1.1.1.0 0.0.0.255
network 12.1.1.0 0.0.0.255
stub no-summary
area 0.0.0.5
network 16.1.1.0 0.0.0.255
#
return
[R1-ospf-1]area 5
[R1-ospf-1-area-0.0.0.5]undo net 16.1.1.0 0.0.0.255
[R1-ospf-1]undo area 5
<cr> Please press ENTER to execute command
[R1-ospf-1]undo stub
[R2]ospf 1
[R2-ospf-1]dis th
[V200R003C00]
#
ospf 1
area 0.0.0.0
network 2.2.2.0 0.0.0.255
network 23.1.1.0 0.0.0.255
area 0.0.0.1
abr-summary 1.1.0.0 255.255.252.0
network 12.1.1.0 0.0.0.255
stub no-summary
#
return
[R2-ospf-1]undo stub
R2和R1都配置:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]nssa //将area 1配置为nssa区域
Ⅳ:totally NSSA :拒绝3、4、5型LSA
R1和R2都进行NSSA配置:
[R1]ospf 1
[R1-ospf-1]area 1
[R1-ospf-1-area-0.0.0.1]nssa no-summary
[R1-ospf-1-area-0.0.0.1]q
30 ospf路由过滤
要求:R4不收1.1.2.1和1.1.3.1的报文
配置前取消NSSA的配置
[R4]ospf 1
[R4-ospf-1]filter-policy 2000 import //使用acl 2000 对路由进行过滤
[R4]acl 2000
[R4-acl-basic-2000]rule deny source 1.1.2.0 0 //拒绝1.1.2.0网段的路由
[R4-acl-basic-2000]rule deny source 1.1.3.0 0 //拒绝1.1.3.0网段的路由
[R4-acl-basic-2000]rule permit source any //允许其余所有的路由
31 路由更新:定时更新和触发更新
1.为了保证路由计算的准确性,需要保证LSA的可靠性。
2.OSPF为每个LSA条目维持一个老化计时器(3600s),当计时器超时,此LSA将从LSDB中删除。
3.为了防止LSA条目达到最大生存时间而被删除,OSPF通过定期更新(每1800s刷新一次)机制来刷新LSA。
4.OSPF路由器每1800s会重新生成LSA,并通告给其他路由器。
5.为了加快收敛速度,OSPF设置了触发更新机制。
6.当链路状态发生变化后,路由器立即发送更新消息,其他路由器收到更新消息后立即进行路由计算,快速完成收敛。
32 ospf路由认证机制:
OSPF支持认证功能,只有通过认证的OSPF路由器才能正常建立邻居关系,交互信息。
两种认证方式:。区域认证方式。。接口认证方式。
支持的认证模式分为null(不认证)、simple(明文)、MD5以及HMAC-MD5。
当两种认证方式都存在时,优先使用接口认证方式。
33 对ospf引入的路由进行过滤
要求:7.7.8.7和7.7.9.7不允许引入
[R5]ospf 1
[R5-ospf-1]import-route rip 1 route-policy qq //引入rip路由同时调用路由策略qq
[R5-ospf-1]q
[R5]route-policy qq permit node 10 //配置路由策略qq,执行策略为10
Info: New Sequence of this List.
[R5-route-policy]if-match acl 2001 //匹配acl 2001
[R5]acl 2001
[R5-acl-basic-2001]rule permit source 7.7.8.0 0.0.0.255
[R5-acl-basic-2001]rule permit source 7.7.9.0 0.0.0.255
34 ISIS:Intermediate System to Intermediate System :中间系统到中间系统
中间系统:路由器
注:主要用于运营商内部网络
特点:
Ⅰ:IS指路由器
Ⅱ:isis 属于大型内部网关路由协议类似ospf,多用于运营商,企业网很少使用。
Ⅲ:使用SPF算法,链路状态类路由协议。
Ⅳ:ISIS封装数据包是基于OSI模型,ospf、rip、以及常见的以太网数据包封装都是基于TCP/IP模型。
Ⅴ:ISIS划分区域是基于路由器的。即一个路由器只能属于一个区域。
Ⅵ:ISIS也是两层架构(骨干区域、常规区域)
35 ISIS路由器的类型:
Ⅰ:Level 1路由器:仅收发L1 isis报文
Ⅱ:Level 2路由器:仅收发L2 isis报文
Ⅲ:Level 1 2路由器:可以收发L1和L2的isis报文
注1:默认情况下所有运行isis的路由器都是Level12路由器。
注2:
L12路由器类似ospf中的ABR
L2类似ospf中骨干区域路由器
L1类似ospf中的常规区域路由器
骨干区域:连续的一片Level 2路由器(包含L1 2)的集合
基础配置:端口加IP
每个路由器添加一个loop 0 地址配为路由器编号
以上配置略
ISIS配置:
RX:
[Rx]isis
[Rx-isis-1]network-entity 49.000n.0000.0000.xxxx.00 //配置网络实体标识,类似ospf中的router-id,标识该中间系统(路由器)的身份信息。其中49.000n表示路由器所在的区域,0000.0000.xxxx表示系统ID,即router-id.00固定格式
[Rx]int gi0/0/0
[Rx-GigabitEthernet0/0/0]isis enable 1 //到接口下宣告直连网段(相当于ospf 1--->network x.x.x.x)
[Rx-GigabitEthernet0/0/0]int gi0/0/1 //此端口没有使用的不需要配置
[Rx-GigabitEthernet0/0/1]isis enable 1
[Rx-GigabitEthernet0/0/1]int loop 0
[Rx-LoopBack0]isis en 1
调试:
36 修改路由器的level类型
根据上图标识修改,例:R1
[R1]isis
[R1-isis-1]is-level ?
level-1 Level-1
level-1-2 Level-1-2
level-2 Level-2
[R1-isis-1]is-level level-1 //将R1修改成纯level-1路由器
修改接口发送level报文的类型(只需在L12路由器上面配置)
[R2]int gi0/0/0
[R2-GigabitEthernet0/0/0]isis circuit-level level-1 //指定此接口只发送level-1的isis报文(提高效率)
[R2-GigabitEthernet0/0/0]int gi0/0/1
[R2-GigabitEthernet0/0/1]isis circuit-level level-2
[R4]int gi0/0/0
[R4-GigabitEthernet0/0/0]isis circuit-level level-2
[R4-GigabitEthernet0/0/0]int gi0/0/1
[R4-GigabitEthernet0/0/1]isis circuit-level level-1
引入rip路由
向isis引入其他自制系统的路由
注:默认情况下,向isis引入的路由是Level2的路由。
[R1]int loop 8
[R1-LoopBack8]ip add 8.8.8.8 24
[R1-LoopBack8]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 8.0.0.0
[R1-rip-1]isis
[R1-isis-1]import-route rip level-1 //以level-1的形式引入rip 1
注:默认情况下,骨干区域的路由不会发送到L1路由器(常规区域),且L1路由器会自动形成指向L12路由器的缺省路由。(这种特性类似ospf中的totally stub)
