hcip笔记(OSPF)
HCIA复习
抽象语言----编码
编码----二进制
二进制---电信号
处理电信号
OSI参考模型----OSI/RM
应用层
表示层
会话层
传输层
端口号:0-65535;1-1023是注明端口
网络层
IP地址
数据链路层
物理层
ARP协议
正向ARP---通过IP地址获取目的MAC地址 目的IP---目的MAC-----ARP表中---180
反向ARP---通过目标MAC地址获取目标IP地址
免费ARP----利用正向ARP的原理请求自己的IP地址 1、自我介绍
2、检测地址冲突
TCP/IP
四层模型----TCP/IP标准模型
五层模型----TCP/IP对等模型
一般使用四层模型
PDU---协议数据单元
L1PDU
L2PDU
...
L7PDU
应用层----数据报文
传输层----数据段
网络层----数据包
数据链路层----数据帧
物理层----比特流
封装和解封装
应用层----存在封装过程,取决于不同的应用程序
传输层----TCP、UDP(端口号)
网络层----封装IP地址
数据链路层---封装MAC地址
物理层----数据已经成为电信号,不存在封装
TCP/IP的跨层封装
目的:提高封装和解封装的速度,加快传输效率
跨四层封装----应用层的数据封装完成后,直接封装网络层数据
应用在直连路由设备之间
跨三四层封装---在应用层封装之后直接封装二层数据
应用在直连交换设备之间
SOF---帧首定界符
MAC子层----介质访问控制层----802.3
LLC子层----逻辑链路控制层----802.2
DSAP:标识接收方上层处理数据报文的模块
SSAP:标识发送方上层梳理数据报文的模块
Control:决定我们数据传送方式的模块
1、无连接模式
2、面向连接模式----控制分片、重组、排序
IP地址
IPv4版本---32位二进制
IPv6版本---128位二进制
点分十进制:把32位二进制分为4部分,每部分8位,进行二进制到十进制的转换
网络位:网络位相同,则代表在同一个广播域
主机位:在同一个广播域中,使用主机位来区分不同的主机
掩码:由连续的1和连续的0组成,1代表网络位,0代表主机位。
IPv4地址分类(有类分址)
单播地址---一对一通讯 特点:既能作为源IP地址,又能作为目的IP地址
组播地址---一对多 广播地址---一对所有
仅作为目的IP地址使用
A:掩码:255.0.0.0
B:掩码:255.255.0.0
C:掩码:255.255.255.0
D
E
IP地址分类原则:根据IP地址二进制的前八位数字特征分类 A:0XXX XXXX-----0-127
B:10XX XXXX-----128-191
C:110X XXXX-----192-223
D:1110 XXXX-----224-239
E:1111 XXXX-----240-255
私网IP地址----单播地址
A:10.0.0.0-10.255.255.255-----1个A类网段 B:172.16.0.0-172.31.255.255-----16个B类网段 C:192.168.0.0-192.168.255.255----256个C类网段
私网IP地址可以重复使用,但是在私网内部需要保证唯一性。
特殊IP地址
1、127.0.0.1-127.255.255.254----环回地址----本地测试
2、255.255.255.255---受限广播地址
3、主机位全1---192.168.1.255/24----直接广播地址
区别:受限广播地址是不被路由器转发的,而直接广播地址会被转发。
4、主机位全0---192.168.1.0/24----网络
5、0.0.0.0----代表没有IP地址,或代表所有IP地址 6、169.254.0.0/16----本地链路地址/自动私有地址
注意:该IP地址不能进行跨网段通讯----以太网环境
VLSM----可变长子网掩码
思路:从主机位向网络位借位。
192.168.1.0/24
192.168.1.0 000 0000/25---192.168.1.0/25
192.168.1.1 000 0000/25---192.168.1.128/25
CIDR----无类域间路由
思路:取相同,去不同
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.0000 0000.0
192.168.0000 0001.0
192.168.0000 0010.0
192.168.0000 0011.0
192.168.0.0/22----超网
172.16.0.0/24
172.16.1.0/24
172.16.2.0/24
172.16.3.0/24
172.16.0.0/22----子网汇总
DHCP服务---动态主机配置协议
DHCP Discover---广播
应用层 DHCP Dicover
传输层 UDP---源端口号68---目的端口号67
网络层 IP---源IP地址0.0.0.0;目的IP地址255.255.255.255
数据链路层 以太网协议----源MAC地址:00-16-D3-23-68-8A 目的MAC:FFFF-FFFF-FFFF
交换机的转发原理
交换机收到电信号后,将电信号转换为二进制,之后,截取到数据帧。 查看数据帧的源MAC地址,之后将该地址和数据进入的接口的对应关系记录在本地的MAC地址表中--
-300s。
之后,看数据帧中的目的MAC地址,基于目标MAC地址查询本地MAC地址表,如果表中存在记录关 系,则按照记录进行转发;若表中无记录关系,则将进行洪泛(交换机将数据从除了进入的接口外的所 有接口发送一遍)
交换机洪泛的三种情况
遇到广播帧
遇到组播帧
遇到未知单播地址
DHCP Offer报文---广播/单播
应用层 DHCP OFFER(可用IP地址,网关,DNS,掩码)
传输层 UDP---源67;目标68
网络层 IP协议---源IP:68.85.2.1----目的IP:68.85.2.101
数据链路层 以太网协议---源MAC:路由器;目的MAC:00-16-D3-23-68-8A
DHCP Request报文---广播
应用层 DHCP Request
传输层 UDP---源端口:68;目标端口67
网络层 IP协议---源IP:0.0.0.0;目标IP地址:255.255.255.255
数据链路层 以太网协议---源MAC:00-16-D3-23-68-8A 目标MAC:FFFF-FFFF-FFFF
DHCP ack报文----广播/单播
应用层 DHCP ACK
传输层 UDP 67 68
网络层 IP -源IP:68.85.2.1----目的IP:68.85.2.101
数据链路层 以太网协议---源MAC:路由器;目的MAC:00-16-D3-23-68-8A
DNS服务---域名解析协议
URL---资源定界符,他和域名是有区别
协议+网站的域名信息+文件所在路径
目的:通过域名获取对应的IP地址
DNS端口号------53---TCP/UDP
DNS查询过程
递归查询
迭代查询
应用层 DNS请求报文
传输层 UDP 源端口:随机;目标端口:53
网络层 IP 源IP地址:68.85.2.101 目的IP:68.87.71.226 数据链路层 以太网封装---源MAC:主机 目的MAC:网关设备
网络层 ARP协议---源IP:68.85.2.101;目的IP:68.85.2.1 数据链路层 以太网协议---源MAC:主机;目的MAC:FFFF-FFFF-FFFF
路由器的转发原理
原理:路由器将基于数据包中的目的IP地址查询本地路由表。若路由表中存再记录,则无条件按照记录
转发;若没有记录,则将直接丢弃该数据包。
获取未知网段的信息
1、直连路由:路由器默认生成可用接口直连网段的路由条目
2、静态路由:由网络管理员手工配置
3、动态路由:所有路由器运行相同的路由协议,之后路由器之间彼此沟通,计算出未知网段的路由信息
直连路由的生成条件
1、接口双UP 物理层面UP:代表链路正常 协议层面UP:代表具备通讯协议
2、接口必须配置IP地址
HTTP协议----超文本传输协议
TCP---80 超文本---包含有超链接link和多媒体元素标记的文本
TCP协议
是一种面向连接的可靠性传输协议
可靠性
确认机制:传输确认,每接收一个数据段,则需要进行一次确认
重传机制:保障可靠性的最优机制,当一个数据段中某一个包丢失,会提醒要求重新传输这个报文
排序机制:传输一个数据段,被分为多个报文,从而不同路径传输,最终到达目的地的顺序会被打乱,所以需 要重新进行排序。根据TCP数据包中的序号字段。
流控机制:滑动窗口机制----调节窗口大小从而对流量进行控制
MSS=MTU-TCP头部-IP头部(在TCP协议的选项字段) PMTU----路径MTU发现协议
在IP报头中,有一个字段是DF,该字段表明了IP报文是否允许分片,PMTU功能开启后,会将该字段设置 为1,表示不能分片。
此时当需要进行分片时,发现该报文不能分片,设备会丢弃该报文,并向发送方发送一个ICMP报文(数 据不可达),同时鞋带上当前设备接口的MTU值。
发送方接收到该ICMP报文后,因为TCP重传机制,会重新发送一次数据,但是也会根据新的MTU值来生产 新的报文进行传输
TCP的面向连接
三次握手
四次挥手
应用层 HTTP请求报文—请求方式:GET(用于请求一个网页信息)
传输层 TCP 源端口:随机端口;目的IP;web服务器
网络层 IP协议—源IP:小明电脑;目的IP:web服务器
数据链路层 以太网封装—MAC源:小明;目的MAC:网关
GET---请求读取一个web页面
POST---附加一个命名资源(web页面)
PUT---请求存储一个web页面
应用层 HTTP应答报文—状态码 200—ok
传输层 TCP协议—源端口号:80;目的:请求方的随机数
网络层 IP协议—源IP:web服务器;目的IP:小明
数据链路层 以太网封装—源MAC:服务器;目的MAC:下一跳设备的MAC地址
1XX---100---通知信息
2XX----200---成功
3XX----300---重定向
4XX---403---客户错误
5XX---500---服务器错误--503
静态路由
静态路由的优点
1.选路合理,由网络管理员手工配置
2.安全,动态路由协议的计算是需要路由器之间交互数据报文
3.不需要额外占用设备资源
缺点:
1.配置量大
2.无法基于拓扑结构的变化而自动收敛
静态路由的基本配置
方法一:
[r1]ip route-static 23.0.0.0 24 12.0.0.2-----在以太网中使用
标记R:该条路由项是由递归计算产生
方法二:
[r3]ip route-static 12.0.0.0 24 GigabitEthernet 0/0/0
数据不通,原因在于此时的数据报文构造中,目的MAC地址被写为目的IP地址所对应的MAC地址。 但是,此时的路由器无法获取目的MAC地址。---ARP无法跨广播域
解决方法:在下一个路由器的入接口上开启ARP代理功能
[r2-GigabitEthernet0/0/1]arp-proxy enable 代理ARP思路:当接收到ARP数据包后,路由器会查看本地路由表,若本地路由器中存在到达目的IP地址
的路由,此时该路由器会冒充目的IP地址来回答ARP报文
方法三:
[r1]ip route-static 192.168.2.0 24 GigabitEthernet 0/0/1 12.0.0.2
该方法不需要进行递归操作
方法四:
[r3]ip route-static 192.168.1.0 24 12.0.0.1 //需要提前铺垫好所有在路由递归查找过程中的所有路由项。
需要提前铺垫好所有在路由递归查找过程中的所有路由项。
静态路由的拓展配置
1,负载均衡:
ip route-static 23.1.1.0 255.255.255.0 12.1.1.2 ip route-static 23.1.1.0 255.255.255.0 13.1.1.3
当路由器访问同一个目标网段,具有多条开销相似的路径 时,可以让设备将流量进行拆分,分别从多条路径同时传输。可以起到叠 加带宽的效果。
手工汇总:当路由器可以访问多个连续的子网时,若均通过相同的下 一跳,可以将这些网段进行汇总计算,之后仅编辑到达汇总网段的路由信 息即可,以达到减少路由条目数量,提高转发效率的目的
路由黑洞:在汇总中,如果包含网络中实际上不存在的网段时,可能造成流量有去无回,浪费链路资源。
在上述配置中,汇总过后,将出现192.168.0.0/24和192.168.3.0/24两条路由,这两条路由实际不存 在,数据无法到达目的地。被下一跳设备丢弃,产生路由黑洞。
合理的划分和汇总,减少路由黑洞。
缺省路由:一条不指定目标的路由条目。查表时,若本地路由均未匹 配,则将匹配缺省路由。 路由黑洞和缺省路由相遇将100%出环
6,空接口路由: 防环,在黑洞路由器上配置一条到达汇总网段指向空接口的路由。
[r2]ip route-static 192.168.0.0 22 NULL 0
浮动静态路由
[Huawei]ip route-static 23.1.1.0 24 12.1.1.2 preference 90
BFD
双向转发检测,是一种全网统一的检测机制,用于快速检测、监控网络中链路或者IP路由的转发连通状况。
[r1]bfd //启动BDF协议
[r1]bfd aa bind peer-ip 10.1.12.1 ---创建bfd会话,会话名称为aa(仅具有本地意义),对端IP [r1-bfd-session-aa]discriminator local 20 ---会话本地标识符 [r1-bfd-session-aa]discriminator remote 10 ---会话对端标识符
[r1-bfd-session-aa]commit --必须提交配置,否则不生效
[r1]ip route-static 10.9.9.0 24 10.1.12.1 track bfd-session aa
[r1]display bfd session all
缺省情况下,bfd会话每隔1000ms发送一次报文,当连续三次报文均无响应后,则bfd会话状态断 开,从而引起联动协议失效。
[r1-bfd-session-bb]min-rx-interval 10 ---配置BFD报文接收时间间隔为10毫秒 [r1-bfd-session-bb]min-tx-interval 10 ---配置BFD报文发送时间间隔为10毫秒
[r1-bfd-session-bb]detect-multiplier 10 ---配置本地检测倍数为10倍,即十次未接收到BFD报文 则认定故障
网络类型及数据链路层协议
网络类型是根据我们数据链路层所运行的协议及规则来划分。
网络类型的分类
P2P—点到点—point to point
MA—多点接入网络
BMA—广播型多点接入网络
NBMA—非广播型多间接入网络
数据链路层协议
MA网络
以太网协议
特点:需要使用MAC地址对我们的设备进行区分和标识
原因:(为什么以太网需要使用MAC地址进行物理寻址)利用以太网协议建立起来的二层网络中可以包含多个接口,每个以太网接口之间都可以进行交互以太网数据帧,从而进行通讯,若不存在MAC地址,则无法找到对应的接收数据帧的设备。
所属类型—BMA
以太网网络的构建方式—使用以太网线缆,连接设备的以太网接口,形成的网络称为以太网络,所运行的协议就是以太网协议。
以太网的特色—可以提供极大的传输速率—频分技术
P2P网络
当一个网络中只能存在两台设备,且不允许第三台设备加入,这样的网络称之为P2P网路。
P2P网络的搭建—使用串口线缆连接设备的串线接口,形成的网络
串口线—一种比较古老的线缆,早期主要使用的线缆之一
串口的标准:E1—2.048M/bps T1—1544M/bps
HDLC
HDLC—High-Level Data Link Control—高级数据链路控制协议
标准:(两种不兼容思科、锐捷)
HDLC网络的搭建
[r1-Serial4/0/0]link-protocol hdlc //修改网络类型为HDLC
Address:写的unicast,代表没有填写内容,因为点到点网络实际上不需要IP地址就可以通讯,而 配置IP地址的原因,仅仅是为了服务上层协议。 Control:原本为了做一些策略,但该字段在现今串线网络当中没有备用到,使用0填充 protocol:表示上层封装协议的类型,跟以太网协议中的类型字段相似
HDLC的接口地址借用
串行接口可以借用loopback接口的ip地址和对端建立连接。
[r1-Serial4/0/0]ip address unnumbered interface LoopBack 0 --借用环回0的IP地址
[r1]ip route-static 12.0.0.0 24 Serial 4/0/0 ----不写下一跳的原因在于,1、如果用下一跳方式书写,则
需要递归路由;2、因为接口没有IP地址,故无法生成下一跳的直连路由。
在最后需要在双方设备补充上对端设备的静态路由信息,保障数据可以进行查表转发。 将环回接口IP地址配置为对端接口IP地址的同网段地址,且掩码为32。
PPP—点到点协议(Point to Point Protocol)
PPP协议优点
相较于HDLC,PPP协议具备良好的兼容性。统一标准协议(任何穿行接口或串行线缆,子要能够支持全双工通讯,就可以支持PPP协议)
具有良好的可移植性。—PPPoE
可以完成认证和授权。
没有重传机制,开销小,速度快
PPP会话的搭建
PPP协议建立会话需要经过三个阶段
链路建立阶段—LCP协议
认证阶段—PPP认证(可选项)
网络层协议协商阶段—NCP协商
PPP链路建立阶段
Dead阶段—被称为物理层不可用阶段
当通讯双方的两端检测到物理链路激活,就会从dead阶段跃迁到Establish阶段
Establish阶段—会进行LCP参数
在该阶段,当LCP参数协商成功后,会进入opened状态,表示底层链路已经建立。
Authenticate阶段—大多数情况下,链路两端的设备是需要经过认证阶段后才能进入到网络层协议阶段。
PPP链路在缺省情况下,不要求进行认证
如果要求进行认证,则在链路建立阶段必须指定认证协议。
认证方式是在双方链路建立阶段进行协商的。
在Network阶段—PPP链路进行NCP协商
通过NCP协商来选择和配置一个网络层协议并进行该网络层协议的参数协商
只有当响应的网络层协议协商成功后,该网络层协议才可能通过这条PPP链路进行发送。
NCP协议成功后,PPP链路将保持通讯状态
若PPP运行过程中,物理链路断开、认证失败、定时器超时、手工关闭连接等操作都会导致链路进入Terminate阶段
Terminate阶段—链接关闭的阶段
若此时所有的链路资源均已被施放,则通讯双方都将回到初始Dead状态,直到双方重新建立PPP连接。
PPP数据帧结构
LCP协议—链路控制协议—主要用于完成PPP会话建立的第一阶段协商过程
NCP协议—网络控制协议—是一系列协议的总称,完成PPP会话建立第三阶段时针对网络层协议进行协商。网络层所使用的协议不同,则对应的NCP协议不同。
LCP协议
LCP报文类型
LCP具有三大报文类型
链路配置报文—重点
链路终止报文
Terminate-Request:终止请求
Terminate-ACK:终止确认
链路维护报文
echo-request — 回波请求
echo-reply — 回波应答
LCP建立
1.MRU值=PPP数据帧中所允许携带的最大数据单元(信息部分大小),单位字节,默认1500
2.认证方式:根据第二阶段认证来判断,若存在认证,则需要协商认证方式;若不存在认证,则不需要协商。
3.魔术字:用来检测链路中是否存在环路,是由本地设备随机生成的字符串(设备序列号、硬件地址)
协商过程
认证阶段
PPP的认证,一般是通过AAA管理框架来完成的
认证是双向的,但是也可以做单向,但是一般不建议。
两种认证方式:PAP、CHAP
·PAP
·密码认证协议----是一种明文的认证方式
·配置方法
·认证方
·创建用户信息
·[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei password cipher
123456
·[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user huawei service-type ppp
· 配置认证方式
·[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode pap
·被认证方
[r2-Serial4/0/0]ppp pap local-user huawei passw
PPP会话的建立是一次性会话方式,当第一次链路建立完成后,后续修改认证方式不会影响链路的通讯。
·CHAP认证
·挑战握手协议-----该认证不再是传递明文信息,而是采用对比摘要值的方式进行认证。
·认证过程
·认证方先发送一个挑战报文,里面包含的是认证方的用户名和一个随机值。
·被认证方接收到后,需要根据该用户名的信息在本地进行查找,找到其对应的密码,然
后将密码和随机值一起进行HASH运算,得出摘要值。
·然后被认证方将自己的用户名和该摘要值发送给认证方
·认证方通过接受到的用户名找到对应密码,再将密码与自己本地产生的随机值,进行
HASH运算,若所得到的摘要值与认证方发送的摘要值相同,则代表通过认证。
·认证配置
·认证方
·[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip password cipher 666666
·[XIAN-OPENLAB-CORE-AR2240-1-aaa]local-user ccip service-type ppp
·[XIAN-OPENLAB-CORE-AR2240-1-Serial4/0/0]ppp authentication-mode chap
·被认证方
·[r2-Serial4/0/0]ppp chap user ccip
·[r2-Serial4/0/0]ppp chap password cipher 666666
一条PPP链路的两端可以使用不同的认证协议认证对端,但是被认证方必须支持认证方要求使用的认证协议并正确配置用户名和密码等信息
网络层协议协商阶段---NCP协商
通过NCP协议来对网络层参数进行协商。----IPCP协议
·协商内容
·IP报文的压缩方式
·IP地址---检测该IP地址是否为可用IP地址,且不于自己的IP地址冲突
·协商过程
·静态地址协商
·一旦认可了对方的IP地址,则将会自动学习到达该IP地址的主机路由。----在PPP网络中,通
讯双方的IP地址可以不同。
·动态地址协商
· 配置命令
·配置方
·[r2-Serial4/0/0]remote address 1.1.1.1
·获取方
·[r1-Serial4/0/0]ip address ppp-negotiate
AAA
定义---认证、授权和计费的简称,是网络安全的一种管理机制,提供了认证、授权和计费三种安全功能。
安全功能
`认证---用于验证用户是否可以获取网络访问权限
`授权---授予用户可以使用的服务类型
`计费---记录用户使用网络资源的情况
AAA域
每一个用户都属于一个域,一个域是由属于同一个域的用户构成的集合群体。
域下信息
一个域统一管理AAA方案、服务器模板和授权。
AAA方案----分为认证方案、授权方案和计费方案,用来定义认证、授权和计费的方式方法
服务器模板---用来配置认证、授权或计费使用的服务器。
`授权信息分为两类
·本地授权(域下授权信息):用户从域下获取的授权信息
·服务器授权:用户从域下和服务器同时获取的授权信息
·若域下授权信息与服务器授权信息冲突,则遵照服务器授权信息执行
·若不冲突,则两者同时执行
用户所属域
用户属于哪一个域----根据NAS设备来判断。
NAS设备存储了一个区域内部所有的用户信息,以及其对应的域信息。
当用户名中携带了域名信息,则NAS设备会根据域名将其归属到对应域下,并回复该域下所配置的AAA
方案、服务器模板、域下授权信息。如果用户名没有携带域名信息,则会将其归属到默认域中。
默认域中自带默认的认证方案、授权方案和计费方案。
AAA方案
认证方案
认证方案用来定义用户认证时所使用的的认证方法以及每种认证方法的生效顺序。
认证方案必须应用到域。
设备支持的认证方式
·本地认证----设备作为认证服务器,然后将用户信息配置在本设备上。
·速度快,降低运营成本。
·缺点:存储的用户信息量受硬件影响
·不认证
授权方案
授权方案用来定义用户授权时使用的授权方法以及每种授权方法的生效顺序
并且,也需要应用到域
设备支持的授权方法
·本地授权
·不授权
计费方案
计费方案用来定义用户计费时使用的计费方法
并且,也需要应用到域
设备支持的计费方法
·RADIUS计费
·HWtacacs计费
计费只能有一种方案,故没有所谓的生效顺序。
配置信息
创建用户:
[server-aaa]local-user ccip@huawei password cipher 123456----用户名后必须跟域名
[server-aaa]local-user ccip@huawei service-type telnet
AAA方案:
[server-aaa]authorization-scheme huawei ---创建一个授权方案
[server-aaa-author-huawei]authorization-mode local ----设置该方案的授权方法
[server-aaa]authentication-scheme huawei ---创建一个认证方案
[server-aaa-authen-huawei]authentication-mode local ---设置该方案的认证方法
[server-aaa]domain huawei ---创建huawei域
[server-aaa-domain-huawei]authorization-scheme huawei
[server-aaa-domain-huawei]authentication-scheme huawei
GRE和MGRE
VPN---虚拟私有网络
指的是依靠ISP或其他网络管理机构在公有网络基础上构建的专用的安全数据通信网络,只不过该网络是逻辑上的而非物理的。
·虚拟:用户不在需要拥有实际的长途数据线路,而是使用公共网络资源建立的属于自己的私有网络。
·专用:用户根据自身需求,特别定制的最符合自身网络架构的网络
·核心技术----封装技术
GRE---逻辑隧道的封装技术
GRE---通用路由封装----标准的三层隧道技术---属于点到点隧道
希望的流量走向
SIP:192.168.1.1 DIP:192.168.2.1 数据
实际的流量走向
SIP:12.0.0.1 DIP:23.0.0.3 数据
经过GRE粘合后的数据
SIP:12.0.0.1 DIP:23.0.0.3 真实SIP:192.168.1.1 真实DIP:192.168.2.1 数据
[r1]interface Tunnel 0/0/0 //创建隧道接口
[r1-Tunnel0/0/0]ip address 192.168.3.1 24
[r1-Tunnel0/0/0]tunnel-protocol gre //定义封装方式
[r1-Tunnel0/0/0]source 12.0.0.1 //定义封装内容,注意是物理接口IP地址
[r1-Tunnel0/0/0]destination 23.0.0.3
双方均需要进行GRE配置
GRE封装和解封装报文的过程
·设备从连接私网的接口接收到报文后,检查报文头部中出现的IP地址字段,并在路由表中查找出接口,如果发现出接口是隧道接口,则将报文发送给tunnel模块进行处理。
·tunnel模块接收到报文后,会首先根据乘客协议的类型和当前GRE隧道的配置来添加参数,并对报文进行GRE封装
·然后,设备给报文添加传输协议报文头部,即IP报文头部。该IP头部信息的源IP地址是隧道源地址(不是隧道自身的IP地址),目的地址就是隧道的目的地址。
·最后,设备根据新添加的IP报文头部中的目的IP地址,在路由表中查找对应的出接口,并发送报文。
·接收端设备从连接公网的接口收到报文后,首先分析IP报文头部,如果发现协议类型字段的值为47(GRE的协议号),表示上层协议为GRE谢意,于是出接口将报文交给GRE模块处理。
·GRE模块去掉IP报文头部和GRE头部,并根据GRE报文头部中的协议类型字段,发现此报文的乘客协议为私网中运行的IP协议,将该数据交给对应协议处理。
Keepalive检测---用于检测隧道对端是否可达
[r1-Tunnel0/0/0]keepalive period 2 retry-times 5
设置发送周期为2s;重传次数为5次。
·如果本端隧道配置了keepalive检测功能,GRE隧道会创建一个计时器,并周期性的发送探测报文,同时进行不可达计数。
·每发送一个探测报文,不可达计数+1
·如果该计数器到达预先设定的值之前收到回应报文,则表明对端可达。
·如果计时器值达到预先设定的重传此处,还未收到对端的回应报文,则认为对端不可达。关闭隧道连接。
·keepalive是不需要双方均进行配置的,仅配置一端即可进行检查。
MGRE----多点通用路由封装技术
NHRP----下一跳解析协议
中心/节点:Hub-Spoke架构
NHS(下一跳服务器)
在私网当中选择一个出口物理IP地址不会变的设备充当NHS服务器。
剩下的节点都可以知道中心的隧道IP和物理IP,然后通过NHRP要求所有的分支节点都需要将自己的物理接口IP和隧道IP发送给该服务器(有变化就发送)。
NHS服务器将会存有所有分支节点的地址映射关系的一个动态记录。
发送消息时查询该映射记录表即可。
MGRE的非shortcut配置
reset saved-configuration //清除本地配置文件
Hub配置
[r1]interface Tunnel 0/0/0
[r1-Tunnel0/0/0]ip add 192.168.5.1 24
[r1-Tunnel0/0/0]tunnel-protocol gre p2mp //修改接口封装模式为点到多点GRE
[r1-Tunnel0/0/0]source 15.0.0.1 //定义封装的源IP,该IP地址为物理IP地址
Spoke配置
[r4]interface Tunnel 0/0/0
[r4-Tunnel0/0/0]ip add 192.168.5.4 24
[r4-Tunnel0/0/0]tunnel-protocol gre p2mp
[r4-Tunnel0/0/0]source GigabitEthernet 0/0/0 //设置分支站点IP地址不固定,故源IP根据出接
口变化
[r4-Tunnel0/0/0]nhrp entry 192.168.5.1 15.0.0.1 register //分支需要到中心站点注册
隧道地址 物理地址 注册
[r1]display nhrp peer all //查看nhrp的注册情况
DSVPN----华为
DSVPN专门为了Hub-Spoke架构诞生服务。
通过总部中转流量会导致下述问题
1、总部在中转分支之间的数据流量时,会消耗总部hub设备的cpu和内存资源,造成资源紧张
2、总部需要对分支之间的数据流量进行封装和解封装,造成额外的网络延时
3、IPSec协议不支持广播报文和组播报文。
DSVPN通过NHRP协议动态收集、维护和发布各节点的公网地址等信息,解决了源分支无法获取目的分支的公网IP地址的问题,从而可以在分支和分支之间直接建立一条动态的VPN隧道,实现支和分支之间的直接通讯,减轻总部的设备负担。
DSVPN借助MGRE技术,使VPN隧道能够传输组播报文和广播报文,并且一个tunnel接口可以跟多个对端建立VPN隧道,减少网络管理员的配置量。并且,在新增分支或者分支地址变化的情况下,能够自动维护总部和分支之间的隧道关系,而不需要调整任何配置
DSVPN概念
当源spoke需要向目的spoke发送数据报文时,
源spoke通过与hub节点的静态mgre隧道交互NHRP协议报文获取目的spoke节点的公网地址,并且与目的Spoke节点建立动态mgre隧道。
·mgre隧道
·静态mgre----建立在hub到spoke,并且永久存在
·动态mgre---建立在spoke到spoke,在一定周期内没有流量转发时将自动拆除
NHRP映射表
静态表项
动态表项
老化时间---7200s
NHRP映射表建立过程
- 建立spoke和hub之间的MGRE隧道
- 分支学习路由
(1)shortcut方式---快捷方式
分支路由全部汇聚到总部
spoke节点只需要存放到达hub节点的路由即可
一般应用在网络规模较大,分支节点较多的场景
- 非shortcut方式---非快捷方式
分支间相互学习路由
每一个分支节点都需要学习到所有对端的控制层面的数据
一般应用在网络规模小,路由信息量少的网络中
- 建立spoke和spoke之间的MGRE隧道
Shortcut方式
非shortcut方式
[r1-Tunnel0/0/0]nhrp redirect //在hub设备上配置----使能nhrp重定向报文
[r4-Tunnel0/0/0]nhrp shortcut //在spoke设备上配置---开启spoke设备的nhrp重定向请求报文
动态路由协议下的MGRE环境---RIP
-
第四章,OSPF---开放式最短路径优先协议
-
OSPF基础
IETE---国际互联网工程任务组---RFC2328
OSPFv2和RIPv2对比
相同点
- 两者都是无类别路由协议---传播时携带真实掩码
- 两者更新方式相同---组播
RIPv2---224.
- 两者均支持等开销负载均衡
- 不同点
RIPv2只能应用在小型网络中,OSPFv2可以应用在中大型网络环境
OSPF区域换分---结构化部署
OSPF域(Domain)---将一系列的OSPF路由器组成的网络称为OSPF域
区域ID:32bit
OSPF多区域划分要求:
- OSPF要求域中所有的非骨干区域(区域ID不为0的区域)都必须与Area0相连。
- 骨干区域不能被分割
OSPF区域结构部署规则的必要性
假定没有“所有非骨干区域都必须与骨干区域相连”这条规则----“远离骨干的非骨干”
定义了ABR(区域边界路由器)设备---确保所有人遵循上述规则
- 至少连接两个区域
- 连接的区域中至少有一个是区域0
- 在区域0中至少有一个活跃的邻居
作用:用于传递区域间路由
为了避免区域间的路由形成环路,非骨干区域直接不允许直接相互发布区域间路由。
假定没有“骨干区域不能被分割”这条规则---不连续骨干区域
OSPF规定:从非骨干区域收到的路由信息,ABR能接收,但不会使用这条路由信息(OSPF水平分割原则)
总结一下
OSPF有如下规则
- 对于伪ABR设备不允许转发区域间路由信息。
- 对于真实ABR而言
能够将自己直连的非骨干区域的区域内路由信息传递给骨干区域。
OSPF路由器角色
内部路由器(IR)
所有接口都接入同一个区域的路由器
区域边界路由器(ABR)
骨干路由器(BR)
接入Area0的路由器,包括ABR,但不包括ASBR
ASBR(AS边界路由器)
工作在OSPF自治系统边界的路由器
并不是同时运行多种路由协议的OSPF路由器就一定是ASBR,ASBR一定是将外部路由引入刀OSPF域
Hello
· 用来周期发现、建立、保活OSPF邻居关系,通过组播224.0.0.5发送。
· 10s发送一次来确认邻居的存在
· hodl-time---四倍的hello时间
· Router-ID (RID)
·全域唯一,标识路由器身份
·用IP地址形式表示(32bit,点分十进制)
·配置方法
·手工配置
·自动配置
·默认最大环回地址,若没有最大环回则选择最大物理IP地址。
·display router id //查看路由器全局ID值
·注意:
启动OSPF进程前,必须要有接口IP地址,若存在IP地址,则在第一次启动OSPF进程时,会选取第一个配置的IP地址为RID
但是,若删除第一个配置的IP地址后,则恢复为上述规则。
在华为设备中,若没有接口IP地址,则OSPF启动后,RID为0.0.0.0
在思科设备中,若没有接口IP地址,则OSPF启动失败
·无论采用手工配置还是自动选择,一旦OSPF进程启动
DBD
·数据库描述报文
·该报文携带的是路径信息的摘要(为了减少更新量,并不会直接给邻居发送TOPO信息,而是将TOPO信息的目录发送给邻居)
LSR
·链路状态请求报文
·基于未知的LSA(链路状态通告)信息进行查询。
LSU
·链路状态更新报文
·携带真正的LSA信息的数据包
LSAck
·链路状态确认报文
OSPF七种状态机
· down---关闭状态---一旦启动了OSPF协议,则发出hello包,并进入下一状态
· int---初始化状态---收到的hello包中,存在自己的RID值,则进入下一状态
· 2-way---双向通讯状态---邻居关系建立的标志
条件匹配:匹配成功则进入下一阶段,不成功则停留在2-way
· exstart---预启动状态---使用未携带信息的DBD包进行主从关系选举,RID大的为主
· exchange---准交换状态---使用携带目录信息的DBD报文进行目录共享
· loading---加载状态---领居间使用LSR/LSU/LSAck三种报文来获取完整的TOPO信息
· full---转发状态---修成正果---标志邻接关系的建立。
条件匹配
·设备接口名称
·DR---指定路由器
·BDR---备份指定路由器
·DRother---其他路由器
· OSPF称为邻接关系的条件
·点到点---不用选举DR和BDR---直接开始建立邻接关系(加快收敛的方法)
·MA网络---在一个网络中,不限制节点数(会选举DR和BDR)
·选举规则
·接口优先级--->0-255--->优先级越大,为DR,次一级为BDR(默认为1)
·RID---越大越优先
·选举范围---一个广播进行一次条件匹配
·角色之间的关系
·DR和DRother--->邻接关系
·DR和BDR--->邻接关系
·BDR和DRoher--->邻接关系
·DRother和DRother--->邻接关系
·非抢占性选举模式
选举过程
- DR、BDR的选举是通过Hello报文来实现的,选举过程发生在2-way状态之后
- 路由器将自己的接口的DR优先级填写hello报文中的“DR优先级”字段
- 在接口视图下可以修改DR优先级(若DR优先级修改为0,则代表不具备DR和BDR的选举资格)
- 当路由器接口激活OSPF后,首先检查网络上是否已经存在DR设备,如果存在则接收DR角色。若不存在,则拥有最高DR优先级的设备称为DR(RID)
- BDR的选举过程与DR选举过程相同,但是是在DR选举成功之后。
DR设备使用组播224.0.0.5向改MA网络发送消息
而DR和BDR使用224.0.0.6监听该MA网络的消息
DRother使用224.0.0.6发送自己的LSU报文
NBMA网络类型中存在
在NBMA网络类型下,如果需要启动OSPF协议,需要手工指定邻居,否则不会发送hello报文。
若不发送hello报文,则邻居状态处于attempt状态。
OSPF工作状态
结构突变
- 新增网段---直接在邻接关系的接口使用LSU进行更新,将内容告诉于邻居,并需要邻居的ACK确认
- 断开网段---直接在邻接关系的接口使用LSU进行更新,将内容告诉于邻居。冰需要邻居的ACK确认
- 无法沟通---dead time
OSPF基础配置
- 启动OSPF进程
[r1]ospf 1 router-id 1.1.1.1 //进程号仅具备本地意义,手工配置RID方法
2.创建区域
[r1-ospf-1]area 0
3.宣告
·[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 //精准宣告
·[r1-ospf-1-area-0.0.0.0]network 12.0.0.0 0.0.0.255 //宣告网段
·宣告使用反掩码形式
32位二进制,使用点分十进制表示。连续的0+连续的1;并且0代表不可变;1代表可
变。
·宣告使用反掩码形式
·32位二进制,使用点分十进制表示。连续的0+连续的1;并且0代表不可变;1代表可变。
华为体系中,优先级为10;
OSPF的COST====参考带宽(100Mbps) /实际宽带
Bandwidth-reference 1000 //修改参考带宽---所有设备均需修改
一条OSPF路径的Cost等于从目的到本地路由器沿途的所有设备的入接口Cost值总和
OSPF报文格式
OSPF报文头部
·版本(Version)
·对于OSPFv2而言,改字段值恒为2
·类型(type)
·描述OSPF数据包的类型
·Hello---1
·DBD---2
·LSR---3
·LSU---4
·LSACK---5
·报文长度(Packet Length)
·整个OSPF报文的长度---单位字节
·路由器ID
·发出该报文的路由器的RID值
·区域ID
·发出该报文的接口所属于的区域的ID值
·校验和
·验证OSPF整体数据报文的有效性
·验证类型
·指示该报文的认证类型
·不认证--0 ;简单认证---1; MD5认证---2;
·认证数据
·用于报文认证所对比的内容
·若认证类型为不认证,则该字段全部用0填充。
OSPF的认证功能在存在于所有的数据交互过程中,对于任何一种数据报文,都需要进行认证。
在认证过程中,需要对比两个字段首先对比认证类型字段。
若相同,才会对比认证数据字段
HELLO包
·网络掩码(Network Mask)
·该字段填充的是发送该报文的网络掩码
·两台OSPF路由器如果通过以太网接口直连,那么双方的直连接口必须配置相同的网络掩码。(点到点网络不需要对比该参数)
·注意:OSPF建立邻居关系需要对比子网掩码信息是华为独有,别的厂商没有这个要求
·Hello间隔
·两台直连路由器需要确保直连接口的Hello时间间隔相同,否则邻居关系无法建立
·缺省情况下,P2P和BMA类型下,为10S;P2MP和NBMA为30s。
·可选项(Options)
·该字段一共8it,每个比特位都用于指示该路由器的某个特定的OSPF特性。
·而OSPF邻居关系建立过程中,该字段的某些比特位将会被检查,可能影响OSPF邻居关系建立。(特殊区域的标记)
·路由器优先级
·[r2-GigabitEthernet0/0/0]ospf dr-priority ? //修改OSPF接口的DR优先级
INTEGER<0-255> Router priority value
·路由器失效时间
·两台直连路由器要建立OSPF邻居关系,需要保证双方接口的dead time时间相同,否则邻居关系无法正常建立。
·缺省时间为hello的4倍。
·指定路由器
·网络中DR设备的接口IP地址
·若没有DR或DR没有选举出来,则填充0.0.0.0
·备份指定路由器
·网络BDR设备的接口IP地址
·若没有BDR或为选举结束,则填充0.0.0.0
·邻居
·在直连链路上发现的有效邻居,此处填充的是邻居的RID值,如果发现多个邻居,则包含多个邻居字段。
所有224.0.0.X 格式的组播地址称为本地链路组播,目的IP地址是本地链路组播的数据包的TTL值被设定为1。所有的本地链路组播都会存在对应的组播MAC地址,01-00-5e-后4位(组播IP地址的后24位)。
限制邻居关系建立的参数
子网掩码
在R2上修改网络掩码后,
R2会将与R3的状态立即修改为Down状态。而R3会在40S死亡时间之后进行状态切换。
原因在于,R2在修改IP地址的掩码后,会认为之前的连接中断,需要重新建立连接,所以重置状态机。
而R3则认为是无法沟通。故会等待死亡时间超时后才切换状态。
并且,该情况,在R3等待40S周期内,还是可以向R2转发数据,R2可以接收到该数据包,但无法回复。
Hello时间
[r1-GigabitEthernet0/0/0]ospf timer hello 20
Dead时间
[r1-GigabitEthernet0/0/0]ospf timer dead 120
注意:修改hello时间,则死亡时间随之改变,而仅修改死亡时间,hello时间间隔不变。
OSPF特殊区域标记
跟修改掩码效果相同。
认证字段
两者均需要等待死亡时间超时,才会从full状态切换到down状态。
DBD包
·使用未携带数据的DBD报文进行主从关系选举
·使用携带数据的DBD报文进行目录信息共享
·使用未携带数据的DBD报文进行确认
·接口最大传输单元(接口的MTU)
·华为将该值设置为0
·华为默认不对MTU值进行检测
·[r1-GigabitEthernet0/0/0]ospf mtu-enable
·如果两边均开启该功能,则会进行MTU检测,并且进行检测是,若两边不同,则状态卡在exstart状态。
·I位---主从关系选举
·如果该位置为1,则不会携带LSA头部。
·M位---代表后续是否有多个DD报文
·置为1,则代表后续还有DD报文
·置为0,则代表该报文为最后一个DD报文
·MS位---代表主设备
·该比特位置为1,则代表Master
·在主从关系选举完成之前,各个设备均会认为自己的master。
·DD序列号
·用于确保DD报文传输的有序和可靠性。 --- DD序列号逐次加1。
·DD序列号必须是由Master路由器决定,而从设备只能使用Master设备发送来的DD序列号来发送自己的DD报文。(隐性确认机制)
·LSA头部
·当路由器使用DD报文来描述自己的LSDB时,LSA的头部信息被包含在内。
·一个DD报文可以包含一个或者多个LSA头部信息。
LSR包
基于DBD报文请求本地位置LSA信息
链路状态类型、链路状态ID、通告路由器-----LSA三原则。---通过三个参数唯一标识一条LSA。
LSU包
LSACK包
LSA头部---20字节
OSPF的接口网络类型
| 网络类型 |
OSPF接口的工作方式 |
| BMA |
Broadcast,可以建立多个邻居关系。需要进行DR和BDR的选举。Hello 10S;dead 40s |
| P2P |
P2P,只能建立一个邻居关系。不需要进行DR和BDR的选举,hello 10s;dead 40s |
| 环回接口(虚拟接口) |
P2P,华为设备定义为P2P类型,但实际上该接口无数据收发。环回接口默认学习32位主机路由。Hello 10s;dead 40s |
| P2MP |
P2MP,可以以建立多个邻居关系,不需要进行DR和BDR的选举;hello 30s,DEAD 120S.会学习邻居接口IP地址所对应的主机路由 |
| NBMA |
NBMA,可以建立多个邻居关系,需要进行DR和BDR的选举,HELLO 30S,DEAD 10S.无法自动建立邻居关系 |
| VLINK |
VLINK;以单播形式发送hello包,hello 10S;dead 40S;不需要进行DR和BDR的选举 |
广播型多路访问类型(BMA)
[r2]display ospf interface GigabitEthernet 0/0/0
Poll----路由器发送轮询报文的间隔
OSPF在BMA网络类型的接口上通常以组播的方式发送Hello报文、LSU报文和LSACK报文。以单播的形式发送DD报文和LSR报文。
点到点类型(P2P)
OSPF在网络类型为P2P的接口上以组播的方式(224.0.0.5)发送所有的协议报文。并且OSPF在P2P类型的网络中不会选举DR和BDR.
该接口类型信息中,缺少了在BMA网络中看到的DR优先级、DR和BDR的描述信息。
[r2]display current-configuration configuration ospf //查看所有当前配置中的关于OSPF的
环回接口(虚拟接口)
Type---P2P----在思科中有专门定义的Loopback类型作为环回接口的类型作为环回接口的类型,而华为中没有定义,使用P2P来填充(没有意义)。
所有通过OSPF学习到的环回接口的路由掩码信息都是32位,这是因为环回接口是一个模拟的接口,它实际上并没有连接用户,所以没有其余的IP地址存在于环回接口之下,只有一个可用的IP地址,故而使用32位掩码来直接标识环回接口。保证路由信息的准确性。---避免产生环路或者路由黑洞。
[r1-LoopBack0]ospf network-type broadcast //修改网络类型为BMA
State:Waiting
原因在于环回接口此时并没有邻居,也就无法进行正常的DR和BDR选举,当时间超时后,环回接口会认为自己就是DR,并将相应信息填充到该接口信息中。
华为将tunnel接口的传输速率定义为64Kbps。
P2MP接口类型
OSPF在P2MP类型的接口上通常以组播的方式发送hello报文,以单播的方式发送其他报文。
P2MP类型无法由设备自动生成,必须由管理员手动更改。
P2MP类型网络不需要选举DR和BDR。
非广播型多路访问类型(NBMA)
在NBMA场景中,为了让OSPF路由器之间能够正确建立邻居关系,需要使用单播邻居的方式来发送OSPF报文。双向配置。
[r4-ospf-1]peer ?
IP_ADDR
OSPF的不规则区域
远离骨干的非骨干区域
使用tunnel隧道
在R2和R3之间构建一条隧道,之后,将这个隧道宣告到Area0,相当于将R3这个非法的ABR设备合法化。
使用隧道解决不规则问题
1. 可能产生选路不佳
2. 可能造成重复更新
3. 因为虚拟链路的存在,R2和R3之间也需要建立邻居。导致他们之间维护的周期性数据将穿越Area1,导致中间区域的资源消耗过大。
虚链路---Vlink
专门为了解决OSPF不规则区域所诞生的技术,是一种虚拟的、逻辑的链路。
[r2-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3
[r3-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2
虚链路的配置条件:只能穿越一个区域。
VLINK链路实际上全部使用单播报文来描述信息。
VLINK被视为骨干区域的一段延伸---VLINK永远属于Area0.
使用vlink解决不规则区域的问题
- 因为虚拟链路的存在,R2和R3直接也需要建立邻居。导致他们之间维护
- 只能穿越一个区域
实际上,vlink不仅仅应用在我们上述两种不规则区域,还可以用来修复一些次优路径或者骨干区域不健壮问题。
Vlink解决没有骨干区域的场景。
Vlink环路问题
场景一
场景二
解决方法:OSPF规定,vlink所在区域不允许传递聚合路由
使用多进程双向重发布
重发布
把一种路由信息以另一种路由协议的方式发布出去。
[r3-ospf-1]import-route ospf 2 ---将OSPF进程2的路由导入到OSPF进程1
[r3-ospf-2]import-route ospf 1OSPF的LSA详解
LSA头部
·链路状态老化时间(Link-State Age)
·16bit,单位S
·当该LSA被始发路由器产生时,该值被设置为0,之后随着该LSA在网络中被洪泛,老化时间逐
渐累积。
·最大老化时间----3600S-----当到达该时间后,该LSA会被本地路由器删除。
·在OSPF网络中,只有始发路由器能够提前使该LSA老化,并删除全网该LSA信息。
·组步调计时器----cisco----240S
·可选项
·内容与hello包相同
·链路状态类型(Link-State Type)
·指代该条LSA的类型
·链路状态ID
·用来标识LSA的,不同类型的LSA,对该字段的定义不同。
·通告路由器
·产生该LSA的路由器的RID
·链路状态序列号
·32位bit,逐次加一
·起始:0X80000001;截止:0X7FFFFFFF
·序列号空间
·线性序列号空间
·循环序列号空间
·棒棒糖序列号空间
·校验和
·会参与到LSA的新旧关系对比
判断LSA的新旧关系
链路状态序列号、老化时间、校验和
1. 具备较高序列号的LSA信息更优
2. 具备相同序列号的LSA,选择拥有较大校验和的LSA
3. 具备相同序列号和校验和,如果某条LSA的老化时间被设置为最大老化时间,则认为该LSA最新。
4. 具备相同序列号和校验和,没有任何一条LSA的老化时间为最大老化时间,会对比两个LSA的老化
时间之差。
(1). 当差值大于15min(MaxAge Diff:一个LSA实例从始发设备发出,直到被洪泛到整个AS边
界所需要的最长时间),会认为两条LSA是不同的,选择较小的LSA
(2). 当差值小于等于15min,会认为两条LSA相同,选择随机一个
Type-1 LSA----Router
·对于一类LSA,网络中所有设备都会发送,并且只发送一条
·同属一个区域的接口共同使用一个一类LSA信息进行描述。
·若存在多个区域,路由器会为每个区域单独产生一个一类LSA,并且每个LSA只描述接入该区
域的接口。
Type-2 LSA----Network
·在一个网络中,只需要一台设备发送
·该LSA仅存在于MA网络中,由DR设备产生
·链路状态ID为DR的接口IP地址
Type-3 LSA---Sum-Net
·通告者均为ABR设备
·每一条路由项都使用单独的一条LSA信息进行描述
·该LSA中的开销值,指的是通告者到达目的网段的开销值
·设备在接收到3类LSA之后,需要根据一类LSA和二类LSA计算的拓扑信息来寻找三类LSA的通告
者。
·如果,通告者是所在区域的ABR设备,那么自然而言,设备可以通过一类和二类LSA找到通告者;若不是本区域的ABR设备通告的,则需要转换通告者。
Type-5 LSA----External
·通告者---ASBR
·LS ID----域外路由信息的目标网络号
·传播范围----整个OSPF域
·五类LSA中携带的是域外路由信息,通过重发布导入OSPF网络,因为不同协议对开销值的算法标准不同,所以,在路由导入之后,将直接舍弃原本的开销值,之后给路由赋予一个规定值-----种子度量值
·OSPF的种子度量值为1
[r4-ospf-1]import-route rip 1 cost 5
·E位:
·表示外部路由使用的度量值类型,OSPF定义了两种外部路由度量值类型,分别为Metric-
Type-1(E=0)、Metric-Type-2(E=1)
·Type-1:所有设备到达域外目的网段的开销值为本地到达ASBR的开销值+种子度量值
·Type-2:域内所有设备到达域外目的网段的开销值等于种子度量值;OSPF默认使用类型2.
·[r4-ospf-1]import-route rip 1 cost 5 type 1
·外部路由标记
·一个只有外部路由才能携带的标记,经常被用于部署路由策略或策略路由。
在华为路由器上,缺省时,该字段值被设置为1。
·转发地址---FA
·FA字段默认为0.0.0.0;则到达该外部网段的流量会被转发引入到发送这条LSA的ASBR设备。
·而若FA字段不为0.0.0.0,则流量会被发送给这个FA字段所表示的地址。
·作用:解决次优路径问题-----与ICMP中的重定向报文具有相同效果。
·FA字段被设置为其余数值的条件:
·引入外部路由的ASBR在其连接外部网络的接口上激活了OSPF协议。
·该接口的网络类型为BMA或者NBMA。
·该接口的IP地址属于OSPF协议配置network命令范围。
·该接口没有被配置为静默接口。
Type-4 LSA------ Sum-Asbr
·链路状态ID-----ASBR的RID值
·度量值---填写的是该通告者到达ASBR的Cost值
·四类LSA的任务就是在辅助五类LSA
Type-7 LSA----NSSA
OSPF优化
主要目的---减少LSA的更新量以及数量。
- 路由汇总(减少骨干区域的LSA更新量)
- OSPF特殊区域(减少非骨干区域的LSA更新量)
OSPF路由汇总(路由聚合)
·OSPF路由汇总是由手工部署的
·OSPF的汇总称为---区域汇总,因为OSPF在区域间才传递路由信息,并且是对路由进行汇总而非LSA信息
·域间路由汇总
· 域外路由汇总
域间路由汇总
[GS-R2-ospf-1-area-0.0.0.1] abr-summary 192.168.0.0 255.255.224.0
[GS-R3-ospf-1-area-0.0.0.2]abr-summary 192.168.32.0 255.255.224.0只要站点内这条汇总路由所涵盖的所有明细路由中有一条是有效的,则ABR就会通告该汇总路由,而当所有的明细路由全部失效时,ABR设备才不会继续通告该汇总路由。
汇总并不会影响ABR设备自身的明细路由
汇总会抑制明细路由的发送。
域间路由汇总只能汇总ABR设备自身通过一类LSA和二类LSA信息学习到的路由条目。
域外路由汇总
[r1-ospf-1]asbr-summary 10.1.0.0 255.255.0.0
五类LSA汇总后的开销值计算方法:
·Type2-----汇总网段的开销值等于所有明细路由开销值中的最大值+1
·Type1-----汇总网段的开销值等于所有明细路由开销值中的最大值
OSPF的特殊区域
第一大类----
1,不能是骨干区域
2.不能存在虚链路
3.不能存在ABR设备
末梢区域(Stub Area)
·如果将一个区域配置成末梢区域,则这个区域将不再学习4类和5类LSA.---ABR设备将不会在给该区域转发4类和5类LSA信息。
·该区域将拒绝学习域外路由信息,但是,其依然具有访问域外路由的需求,所以,由该区域ABR设备,会自动生成一条指向骨干区域的3类LSA缺省路由。
[r5-ospf-1-area-0.0.0.2]stub
[r1-ospf-1-area-0.0.0.2]stub注意:一旦做特殊区域,则所有区域内的设备都必须做特殊区域
完全末梢区域(Totally Stub Area)
在末梢区域的基础上,进一步拒绝学习3类LSA,仅保留3类缺省即可
[r1-ospf-1-area-0.0.0.2]stub no-summary 该命令仅需要在ABR设备上配置即可第二大类特殊区域---1、不能是骨干区域
- 不能存在虚链路
- 存在ASBR设备
非完全末梢区域(NSSA)
·如果将一个区域配置成非末梢区域,则这个区域将不再学习4类和5类LSA。---ABR设备将不会在给该区域转发4类和5类LSA信息。
·该区域依然需要将域外路由信息导入,但因为该区域拒绝5类LSA,所以,只能以7类LSA的形式来继续传递域外路由信息。
·之后,在7类LSA信息离开NSSA区域后,需要再转换成5类LSA进行传输。
·该区域将拒绝学习域外路由信息,但是,其依然具有访问域外路由的需求,所以,由该区域ABR设备,会自动生成一条指向骨干区域的7类LSA缺省路由
[r5-ospf-1-area-0.0.0.2]nssa
[r1-ospf-1-area-0.0.0.2]nssaO_NSSA-----7类域外跨
完全的非完全末梢区域(Totally NSSA)
· 在NSSA的基础上,进一步拒绝学习3类LSA,产生一条3类缺省LSA。
[r1-ospf-1-area-0.0.0.2]nssa no-summary
NSSA环路问题
· NSSA区域缺省路由配置错误可能会导致路由环路的产生。
场景一
场景二
[r3-ospf-1-area-0.0.0.1]nssa default-route-advertise
R4和R5无法下发OSPF缺省路由的原因是本地路由表中的静态缺省路由被R3发送的七类缺省路由所替 代。
当删除R3的下发命令后, R4和R5均会下发七类缺省路由,并学习对方的七类缺省路由,但是并不会将 从对方学习到的七类缺省路由加入到路由表中。
总结一下:
1. NSSA区域的七类LSA实际上是需要ASBR或者ABR自己下发的。
2. 而如果多台设备均下发成功七类LSA缺省路由,则虽然都会收到LSA信息,但并不会将其余设备的 LSA缺省信息加入到本地路由表中。因为始终相信自己的缺省路由是最好的。
3. 而对于第一台发布七类缺省路由的设备而言,会认为我身上已经有了一条去往外部区域的路由,并 且本地作为通告者,那么当他接收到其他设备发送来的七类缺省路由,也不会进行学习。-----华为 运用该逻辑解决Totally NSSA中的环路问题。
(1). 华为为了解决环路问题,保留了NSSA区域由ABR产生的七类LSA缺省路由,这样做的好处就 是使得设备相信自己产生的这条LSA,而对于其他设备传递来的七类LSA,只接收到不使用。
(2). 这样一来, ABR设备就不会具备指向NSSA区域内部的缺省路由,更不会将这个缺省路由传递 给骨干区域,从而避免环路问题。
OSPF规定:在NSSA区域中,可能同时存在多个ABR或ASBR,为了防止路由环路产生,边界路由器 之间不计算对方发布的缺省路由。
NSSA负载分担解决次优路径问题
OSPF对进行7转5操作的规范:
1. P比特位用于告知路由器该Type-7 LSA是否需要转换
2. 缺省情况下,转换路由器是NSSA区域中RID值最大的ABR
3. 只有P比特位和FA字段不为0的Type-7LSA才能被转换为五类。
[r4-ospf-1-area-0.0.0.1]nssa suppress-forwarding-address //在进行7转5时,删除转发地址
[r1-ospf-1-area-0.0.0.1]nssa translator-always //强制开启7转5操作,在ABR设备上配置若本地存在两条LSA除了通告者不同外,只有FA字段的值不同,那么对于这两条五类或七类LSA而 言, FA字段不为0.0.0.0的LSA优先级更高。
NSSA区域如果没有FA字段,将会有很大的可能因为7转5操作出现次优路径。
FA字段解决NSSA环路
