CCNP基础知识-路由(一)
路由基础
前言
字数15000+,预估阅读时间较长。
OSI七层模型回顾
| 层 | 主要功能 |
|---|---|
| 7.应用层 | 人机交互,面向应用程序 |
| 6.表示层 | 将逻辑语言转换为机器语言,对即时通信的软件进行加密 |
| 5.会话层 | 防止数据冲突,建立端对端的会话虚拟连接 |
| 4.传输层 | 通过不同的端口号来区别不同的流量 |
| 3.网络层 | 寻址,路由 |
| 2.数据链路层 | 通过不同的传输介质进行不同的封装 |
| 1.物理层 | 定义电气,光学等物理传输介质 |
静态路由
静态路由有两种写法:
1.ip route+目标网段+下一跳
2.ip route+目标网段+出接口
第一种适合MA网络,第二种适合点对点网络
也可以两种都写上,互为备份:
ip route+目标网段+下一跳+出接口
浮动静态路由实验实例
实验要求:
- 优先使用串行链路,串行链路故障时使用以太网链路
- 优先使用以太网链路,以太网链路故障时使用串行链路
1.优先使用以太网链路
配置
| 设备名称 | 以太网接口地址 | 串行接口地址 | 环回接口地址 |
|---|---|---|---|
| R1 | 172.16.70.1/24 | 172.16.80.1/24 | 2.2.2.2/24 |
| R2 | 172.16.70.2/24 | 172.16.80.2/24 | 1.1.1.1/24 |
静态路由配置
R1:
r1(config)#ip route 1.1.1.0 255.255.255.0 172.16.70.2 5
r1(config)#ip route 1.1.1.0 255.255.255.0 172.16.80.2 10
R2:
r2(config)#ip route 2.2.2.0 255.255.255.0 172.16.70.1 5
r2(config)#ip route 2.2.2.0 255.255.255.0 172.16.80.1 10
输入show ip route 来查看路由表:
R1:
R2:
可以看到此时去往对端环回的路由都是选择以太网链路
在r1上输入:ping 1.1.1.1 repeat 1000
然后在r2上shutdown 以太网接口,查看是否可以自动切换为串行链路
可以看到此时shutdown后已经不能通信了,再将r2的接口打开,再次ping
此时通信恢复。
出现这种不能自动切换的解决方法:设置sla流量接收器和track跟踪器
在r1上配置:
//定义sla
r1(config)#ip sla 1
r1(config-ip-sla)#icmp-echo 172.16.70.2 source-ip 172.16.70.1
r1(config-ip-sla)#exit
r1(config)#ip sla schedule 1 life forever start-time now
//定义track追踪
r1(config)#track 100 ip sla 1 reachability
r1(config-track)#exit
//重新写去往1.1.1.0/24的路由,在末尾调用track 100
r1(config)#ip route 1.1.1.0 255.255.255.0 172.16.70.2 5 track 100
再次测试:使用r1 ping r2
可以看到,中间丢了几个包,然后恢复通信。
2.优先使用串行链路
优先使用串行链路可以自动转换,在此不多赘述。
永久静态路由写法:ip route + 目标网段 + 下一跳/出接口 + permanent
动态协议分类
以内外部网关协议区分:
IGP(内部网关协议):RIP,OSPF,EIGRP,ISIS
BGP(外部网关协议):BGP
按照是否携带掩码:
有类别(不携带掩码)
无类别(携带掩码)
有无类别可以理解为:是否需要进行区分A,B,C类网
按照算法分类:
距离矢量型 - DV算法:RIP,EIGRP
链路状态型 - LS型:OSPF
RIP协议
RIP协议 - routing information protocol - 路由信息协议
RIP有两个版本:RIPv1,RIPv2
RIPv1不携带掩码,RIPv2携带掩码
算法:DV算法
数据包:request包(请求包)、response包(响应包)
RIP通过周期更新来保证路由的正确性
更新地址:v1:255.255.255.255(广播)、v2:224.0.0.9(组播)
RIPv2中将更新方式换为组播更新是为了减少对不相关设备的开销
组播:224-239之间的地址被称为组播地址,组播地址无网络掩码,一个组播MAC地址可以对应32个组播地址。
RIP协议的特性:
- 水平分割,接收数据的接口不会将该数据从此接口再转发出去
- RIP计算器:update(更新路由表,默认为30秒),invaild(无效计时器,默认180秒,如果超过180秒还没有响应,将这个路由置为possibly down,如果240秒还没收到,就删除该路由),hold down(抑制计时器,默认180秒),flush(刷新计时器,默认240秒)
- 毒性,逆转水平分割,毒性:发送不可达路由,将metric设置为16,接收到该数据包的路由器会将该路由删除,并将此数据包再发回给发送方,做一个变相的确认。
- 异步更新:运行散列算法,在0-0.15之间随机选数字乘30,得到的结果就是下次的更新时间。
RIP的计时器更改:
r1(config)#router rip
r1(config-router)#timer basic 10 60 60 80
自动汇总:RIP协议默认自动汇总
RIPv2只支持VLSM,不支持CIDR
RIP协议实例(1)-- 数据的接收版本
设置路由器接收数据的RIP版本
R1配置为version 1,R2不配置版本,R3配置为version 2
配置
| 设备名称 | 以太网接口地址 | 环回接口地址 |
|---|---|---|
| R1 | 1.1.1.1/24 | 10.1.1.1/24 |
| R2 | 1.1.1.2/24和2.1.1.1/24 | 11.1.1.1/24 |
| R3 | 2.1.1.2/24 | 12.1.1.1/24 |
RIP协议配置
r1:
设置r1接口的接收版本:
r2:
r3:
设置r3接口的接收版本:
查看路由表:
r1:
r2:
r3:
可以看出,通过配置接收数据的RIP版本,R1和R3也可以相互学习到路由表了。
RIP协议实例(2) – 单播邻居
要求:R1可以学习到所有路由表,R2和R3之间不能学习路由表
运用知识:单播邻居
配置:
| 设备名称 | 以太网接口地址 | 环回接口地址 |
|---|---|---|
| R1 | 1.1.1.1/24 | 10.1.1.1/24 |
| R2 | 1.1.1.2/24 | 20.1.1.1/24 |
| R3 | 1.1.1.3/24 | 30.1.1.1/24 |
RIP协议配置:
r1:
r2:
r3:
查看路由表:
r1:
r2:
r3:
可以看出,现在R2和R3的路由表中已经没有彼此的路由信息。
测试实验结果
r1:用r1去ping r2的loop 2和r3 的loop 3
r2:用r2去ping r1的loop 1和r3的loop 3
r3:用r3去ping r1的loop 1和r2 的loop 2
实现R2和R3不能通信,实验完成。
RIP协议实例(3)-- 明文、密文认证
要求:R1和R2之间为明文认证,R2和R3之间为密文认证
地址配置
| 设备 | 接口地址 |
|---|---|
| R1 | f0/0:192.168.1.1/24 |
| R2 | f0/0:192.168.1.2/24,f1/0:192.168.2.1/24 |
| R3 | f1/0:192.168.2.2/24 |
R1明文认证配置与接口调用:
R2明文、密文认证配置与接口调用:
R3密文认证配置与接口调用:
使用R2测试连通性:
定义key-chain密匙是最简单的认证方式,密文认证使用了md5算法(信息摘要算法),md5算法在严格意义上讲并不算是加密算法,它仅能用来加密简单的文字,也可以用来检验文件的完整性。
RIP协议加快收敛速度的方法:
r1(config)#router rip
r1(config-router)#timer basic 10 60 60 80 //将收敛速度变为原来的三倍
//也可以不遵循三倍关系,但可能会导致路由丢失
RIP的缺省路由
1、在边界的路由器上下发缺省路由:
r1(config)#router rip
r1(config-router)#default-information originate
2、由汇总产生缺省路由,汇总所在的路由器上的明细路由将被抑制:
r1(config)#interface f1/0
r1(config-if)#ip summary-address rip 0.0.0.0 0.0.0.0
3、重发布产生
r1(config)#router rip
r1(config-router)#redestrbute static
4、缺省网络
//定义缺省网络
r1(config)#ip default-network 192.168.1.0
RIP协议的路由控制
1、修改AD值
r1(config)#router rip
r1(config-router)#distance 100 //将AD值从120修改为100,优先级提升
2、修改metric值(metric值在RIP中仅代表跳数)
//首先定义acl列表,抓取感兴趣流量
r1(config)#access-list 1 permit 192.168.1.0
//偏移量调用acl列表
r1(config)#router rip
r1(config-router)#offset-list 1 in 7 fastEthernet0/0
offset-list为偏移量前缀
1是前面定义的access-list 的编号1
in该接口为入接口时产生效果
7将原来的偏移量改为7
fastEthernet0/0在f0/0接口调用这个偏移量
广域网技术
局域网 – 以太网(Ethernet 2,IEEE802.3 – MAC LLC)
广域网 – PPP,HDLC,FR,ATM
PPP – 点对点协议 – Point to Point Protocol
1、PPP 最初设计是为两个对等节点之间的 IP 流量传输提供一种封装协议,为在点对2、点连接上传输多协议数据包提供了一个标准方法。
3、PPP具有动态分配IP地址的能力,允许在连接时刻协商IP地址;
4、PPP支持多种网络协议,比如TCP/IP、NetBEUI、NWLINK等;
5、PPP具有错误检测能力,但不具备纠错能力,所以ppp是不可靠传输协议;
6、无重传的机制,网络开销小,速度快。
7、PPP具有身份验证功能。
8、PPP可以用于多种类型的物理介质上,包括串口线、电话线、移动电话和光纤(例如SDH),PPP也用于Internet接入。
PPP是点对点的串行通信方式,它提供了三类功能:成帧;链路控制协议LCP;网络控制协议NCP。
PPP的PAP密码认证和Chap密码认证
PAP – password authentication protocol
PAP被称为密码认证协议,是一种简单的一次性认证,要求有一个主认证方和一个被认证方,收到攻击时不能自行检测。
配置
r1(config)#username r2 password cisco //建立一个用户,作为r2的认证信息
r1(config)#interface s1/0
r1(config-if)#encapsulation ppp //开启PPP协议
r1(config-if)#ppp authentication pap //r1作为主认证方,认证方式为pap
*
r2(config)#interface s1/0
r2(config-if)#encapsulation ppp
//r2作为被认证方,需要输入认证信息
r2(config-if)#ppp pap sent-username r2 password cisco
Chap – challenge handshake authentication protocol
chap被称为握手挑战认证协议,能够在收到攻击时自动PPP会话,chap的加密基于md5,在chap的双向认证时,双方的密码必须保持一致,否则就会认证失败。
配置
r1(config)#username r1 password cisco
r1(config)#int s1/0
r1(config-if)#encapsulation ppp
r1(config-if)#ppp authentication chap //开启ppp的chap认证模式
*
r2(config)#int s1/0
r2(config-if)#encapsulation ppp
r2(config-if)ppp chap hostname r1 password cisco
//在chap中,认证信息不再是username,而是hostname,即设备名称
EIGRP 协议
EIGRP协议被称为:增强型内部网关路由协议,适用于IGP网络,携带网络掩码(无类别),基于DUAL(扩散更新算法),封装:基于IP封装,协议号:88,支持跨层封装。
支持跨层封装:TCP/IP,不支持跨层封装:OSI
一、EIGRP的特点
1、Eigrp是高级的距离矢量路由协议,收敛快
2、支持多种网络层协议(ipv4,ipv6,ipx)
3、可以进行组播更新和单播更新,组播更新地址:224.0.0.10
4、支持在任意一点进行手工汇总(VLSM,CIDR)
5、支持等开销负载均衡和非等开销负载均衡
6、不论是低速链路还是高速链路,eigrp的配置都同样简单,因为eigrp有接口保护机制
7、eigrp有灵活的网络设计
eigrp的接口保护机制:eigrp的数据包对接口带宽的占用默认不超过50%
二、EIGRP的四个机制
1、邻居发现与恢复:发现,维持,恢复
2、RTP – 可靠传输协议(体现在确认和重传机制)
3、DUAL算法
4、PDM – 协议相关模块
DUAL算法
dual算法中的几个关键词:
后继路由器 :是一个转发数据包的相邻路由器,该路由器是通往目标网络的开销最低的路由。
可行后继路由器 – FS:这个路由器也被称为备份路由器,一旦原有的路由出了故障,这条路由就直接投入使用,无需再次计算dual
可行距离 – FD:通往目标网络的最低度量值。
报告距离 – RD(也称为通告距离 – AD):告诉邻居自己去往某一网段的度量开销
可行条件 – FC:这个条件是路由器成为FS的前提条件,当路由器的RD(AD)比本地路由器去往同一网段短时,这个路由器就满足FC条件,就成为FS。
DUAL的工作过程:
举个例子:
1、当R3的F0/0接口出现故障时,R2会向R1发送一个query查询数据包,
2、R1收到query后,会向R0发送一个query查询数据包,
3、R0收到query后,没有路由器可以发送query包,就会删除去往R3的路由,然后向R1发送一个request回复数据包,
4、R1收到request包,删除去往R3的路由,向R2发送request回复数据包
5、R2收到request包,删除去往R3的路由,扩散更新完成。
EIGRP的metric值计算
在eigrp中,metric值与五个参数有关:
k1 – 带宽;k2 – 延时;k3 – 可靠性;k4 – 负载;k5 – MTU
一般情况下,使用带宽和延时来代入公式决定metric值:
Metric=( 1 0 7 b a n d w i d t h \frac{10^7}{ bandwidth } bandwidth107+ d e l a y 10 \frac{delay}{10} 10delay) × \times × 256
EIGRP的配置
eigrp的配置非常简单,只有三行:
r1(config)#router eigrp 1
r1(config-router)#no auto-summary
r1(config-router)#network 192.168.1.0
eigrp也支持反掩码宣告:
r1(config-router)#network 192.168.1.0 0.0.0.255
查看eigrp的邻居表:
r1(config)#do show ip eigrp neighbors
查看eigrp拓扑表:
r1(config)#do show ip eigrp topology
EIGRP的数据包:
1、hello包:周期性发送(5s),建立邻居,保活。
可以通过show ip eigrp interface detail 来查看hello包的发送周期
2、update包:更新路由信息
3、query包:查询包
4、reply包:回应包
5、ack包:确认包
单播邻居:eigrp配置单播邻居后,所有的数据全部单播,且抑制组播发送,两端须同时为单播或同时为组播
被动接口:eigrp的被动接口什么都不发
路由控制:
1、 AD值调整 : distance + 数值
2、metric值调整:调整bandwidth,或通过offset-list偏移列表调整metric
路由汇总:
支持手工汇总:VLSM,CIDR
ip summary-address+eigrp+网段
当有不想被汇总路由覆盖的条目时,可以使用leak-map来进行泄露。
eigrp缺省的几种方式:
1、汇总:ip summary-address eigrp 0.0.0.0 0.0.0.0
2、重发布: ip route 0.0.0.0 0.0.0.0 s1/0,router eigrp,redistribute static
3、network:network 0.0.0.0
4、缺省网络: ip default-network 192.168.1.0
OSPF协议
open shorted path first – 开放式最短路径优先协议,是目前互联网中使用最广泛的协议之一,适用于IGP网络,用于在单一自治系统的内决策路由。携带网络掩码,基于SPF算法,基于IP封装,协议号89。
一、OSPF特点
1、ospf是典型的链路状态型协议,是一种地图式的协议,现在使用ospf v2(RFC 2328)
2、ospf使用SPF算法
3、ospf更新信息:LSA – 链路状态通告,既包含了路由信息又包含了拓扑信息
- LSA种类:在OSPFv2中使用1,2,3,4,5,7类
- 路由信息:包含的接口的路由信息
- 拓扑信息:路由器之间的连接关系
4、ospf更新地址:使用组播更新或单播更新,组播更新地址:224.0.0.5
5、ospf更新方式:触发更新和30分钟的链路状态更新,周期为5分钟
6、ospf支持认证:链路认证,区域认证,虚链路认证
7、ospf支持路由汇总:仅仅在某些特殊的路由器支持汇总
8、ospf支持区域的划分,划分的目的是降低ospf对资源的占用
9、ospf非常消耗路由器资源,一个cisco设备最大支持31个ospf路由进程
10、ospf私用cost(相当于带宽)计算metric
二、OSPF区域设计
1、区域标识:使用十进制类似于IP地址的形式表示
OSPF的区域划分是基于接口或链路的,也可以基于路由器划分
2、区域的类型:
- I、骨干区域:标识为0
- II、非骨干区域:标识非0
3、区域设计原则:
- I、一个OSPF的网络必须存在且仅有一个区域0,如果一个网络中只有一个区域,那么这个区域可以不是区域0
- II、如果要存在非骨干区域,非骨干区域必须与骨干区域相连
- III、骨干路由器:如果一个路由器的所有接口都在区域0中,那么这个路由器叫做骨干路由器
- IV、非骨干路由器:如果一个路由器的所有接口都在非骨干区域中,那么这个路由器叫做非骨干路由器
- V、ABR:如果一个路由器,既有接口属于骨干区域,又有接口属于非骨干区域,则这个路由器称为ABR(能产生3类LSA的路由器称为ABR)
- VI、ASBR:自治系统边界路由器:如果有一个路由器属于OSPF网络与非OSPF网络的边界,同时将非OSPF网络中的路由引入到OSPF网络中,那么这个路由器称为ASBR(能够产生7类LSA的路由器称为ASBR)
三、OSPF配置
r1(config)#router ospf 1
r1(config-router)#router id +a.b.c.d
r1(config-router)#a.b.0.0 0.0.255.255 area 0
//宣告网段,并为网段划分区域
也可以在接口中激活区域:
r1(config)#interface f1/0
r1(config-if)#ip ospf 1 area 0
OSPF的三张表
邻居表:
r1(config)#do show ip ospf neighbors
链路状态数据库表:
r1(config)#do show ip ospf database
路由表
r1(config)#do show ip route ospf
OSPF中的角色及选举过程
OSPF的角色
DR:指定路由器,负责整个区域的LSA的发送,优先级为1-255,数值与优先级成正比,当优先级为0时表示不参与选举,自动弃权。在MA网络中,所有的路由器都与DR建立邻接关系。
BDR:备份指定路由器,优先级仅次于DR,当DR出现故障不能正常工作时,BDR直接成为DR。
DROther:既不是DR也不是BDR的路由器。
OSPF中建立邻居关系的条件
1、router ID必须不同
2、area ID必须相同
3、认证类型和数据必须保持一致
4、hello时间和死亡时间必须一致
5、特殊区域标识必须保持一致
6、双方都为单播或都为组播
7、MA网络中,网络掩码必须一致
OSPF的数据包及状态机制
1、init状态(初始化状态):当对方满足上面的7条时,会向对方发送hello包,当收到包含自己router ID 的hello包时,直接进入下一状态:two-way
2、two-way状态(邻居状态):如果在P2P网络,可以继续进入新的状态,如果在MA网络,则继续发送hello包进行选举DR,BDR;当收到包含自己router id的hello包,会立即发送DBD(database description)数据包,然后进入下一状态
- 在DBD中包含两种:
- 1、主从DBD(router id大的为主,小的为从)
- 2、携带LSA 目录的DBD
3、exstart状态(预启动状态):双方发送MTU信息,检验MTU值是否相同,相同则进入下一状态,不同则卡在exstart状态,可以在MTU值较小的一端配置ip ospf mtu-ignore
4、exchange状态(预交换状态):主从选举完成后,进入该状态,然后开始发送LSA目录,主从双方开始发送LSR请求自己没有的条目,然后将对方请求的条目信息LSU发送给对方,进入loading状态(加载:学习LSA信息),加载完成后进入下一状态
- 接受方:从LSA中找出自身没有的信息,发送对应的LSR请求,收到发送方发送的LSU信息后,在LSA中删除该条目,意为自己已学习该信息
- 发送方:收到LSR请求,发送对应LSU,如果收到对方的ACK,则继续发送下一个LSU,如果没收到,则准备重传。
5、full状态(邻接):OSPF已经同步了所有的信息,到达最终状态。
OSPF的几种数据包的确认方式
OSPF数据包基于IP封装,所以不可靠,除了hello包外,其他的都需要ack确认。
1、DBD:通过序列号进行显式及隐式确认
2、LSR:通过LSU中携带的标记(a、LSA类型;b、link-id;c、ADV router:产生这条路由的路由器标识)进行确认
3、LSU:由LSACK进行确认
OSPF中的6种LSA
LSA – link states 链路状态信息
分别是1类,2类,3类,4类,5类,7类
LSA的比较因素
1、序列号:每次更新信息的标识
- 线性序列空间:从一个值到达另一个值,易比较先后顺序,但空间很有限
- 循环序列空间:从一个值到达另一个值后,重置为第一个值,先后顺序通过公式计算,空间无限
- 棒棒糖序列空间:结合了线性序列空间和循环序列空间,从线性空间开始排序,线性空间满了之后开始从循环空间开始排序,那么线性空间中的序列号必然是先于循环空间的。
2、校验和:当两个LSA的序列号相同时,可以比较校验和来区分先后顺序
3、LSA age:当序列号和校验和都相同时,比较LSA age(LSA存活时间),默认30分钟的周期更新为了刷新LSA中的各种参数,老化时间:3600秒,也称为强制刷新时间。
标记一条LSA的唯一性: - LSA类型
- link-id
- ADV router
一般情况下,不会用到校验和与LSA age,序列号就可以区分绝大多数的LSA
1类 – 路由器LSA – router LSA
路由器LSA:用来描述本路由器在某区域中的路由信息,一个路由器针对一个区域产生一个LSA,终止于ABR。
Link-id:产生该LSA的路由器的router-id
ADV-router:产生LSA 的router-id
特点: 在MA网络中,1类LSA 仅包含LSA的接口(transmit conn)以及metric值,掩码和拓扑信息在2类LSA出现。
2类 – network LSA
network LSA :描述MA网络中所存在的所有路由器,该MA网络的网络掩码是多少。
传播范围:在本区域内传播,终止于ABR。(无论是否存在MA接口,因为要在区域内构件逻辑拓扑)
Link-id:MA网络中DR的接口地址
ADV router:DR接口所属的路由器的router-id
特点:描述了MA的掩码信息
1类和2类LSA只能在某一个区域内传输,传递的是路由信息
3类 – summary LSA – 汇总LSA
summary LSA:用于在不同区域之间传递路由信息
传播范围:在区域间传播(默认仅在某一区域中传输,进入其他区域时必须由新的ABR产生)
Link-id:传递路由网络号
ADV router:默认为本区域ABR的router-id在穿越不同区域时发生改变。
4类 – ASBR summary LSA – ASBR 汇总 LSA
ASBR summary LSA:用于宣告ASBR位置
传播范围:在整个ospf域间传递(进行重发布的路由器所在区域除外)
Link-id:ASBR的router-id
ADV:ASBR所属区域内的ABR的router-id(在跨越不同区域时发生改变,此改变与3类LSA中ADV的变化相同)
5类 – external LSA – 外部LSA
external LSA:将外部路由引入ospf域中
传播范围:整个OSPF域
Link-id:传递外部路由网络号
ADV:ASBR 的router-id
OSPF高级特点
1、修改hello时间
修改hello时间、dead时间影响邻居关系建立
修改hello时间,dead时间自动变化
修改dead时间hello时间不变
在MA网络中选举DR的超时时间永久和dead时间一致
r1(config-if)#ip ospf hello-interval ?
2、修改LSA传输延时
r1(config)#int s1/1
r1(config-if)#ip ospf transmit-delay ?
3、修改更新重传间隔
r1(config)#interface s1/1
r1(config-if)#ip ospf retransmit-interval ?
4、路由认证
- 链路认证
//链路认证 - 明文
r1(config)#interface s1/1
r1(config-if)#ip address 23.1.1.1 255.255.255.0
r1(config-if)#ip authentication-key cisco
//链路认证 - MD5
r1(config)#interface s1/1
r1(config-if)#ip address 23.1.1.1 255.255.255.0
r1(config-if)#ip ospf authentication message-digest
r1(config-if)#ip ospf message-digest-key 1 md5 cisco
- 区域认证
//开启区域认证
r1(config)#router ospf 100
r1(config-router)#area 1 authentication message-digest
限制LSA数量
限制LSA的方式:
1、区域划分
2、配置特殊区域
3、LSA汇总
4、LSA过滤
特殊区域:
stub:末节区域,在ospf某个区域中,拒绝4,5类LSA,可能造成与外网无法通信,在stub区域所在ABR上自动产生一条3类缺省LSA,保证通信。
1、特殊区域中所有路由器都必须配置,以保证LSA的同步
2、特殊区域不能是骨干区域
3、在stub区域中不能重发布,不能存在ASBR路由器
4、特殊区域不能出现虚链路(virtual-link)
部署:
r1(config)#router ospf 100
r1(config-router)#area 1 stub
查看:
r1#show ip ospf database
查看详细3类LSA缺省:
r1#show ip ospf database summary 0.0.0.0
**totally stub:**完全末节区域,在stub区域边界上,过滤3类LSA,仅保留3类缺省LSA,过滤4,5类LSA
部署:(在stub区域的ABR上配置)
r1(config)#router ospf 100
r1(config-router)#area 1 stub no-summary
查看:
r1#show ip ospf database
NSSA: 非完全末节区域(not so stub area),在stub区域基础上,允许重发布、允许存在ASBR路由,依然不能出现4,5类,产生7类NSSA LSA用于在NSSA区域宣告外部路由信息。
7类LSA:NSSA LSA
NSSA LSA:在NSSA区域内,用于通告外部路由信息
传播范围:仅在本NSSA区域内传播
ADV:NSSA区域中重发布路由器(ASBR)的router-id
Link-id:外部路由网络号
特点:产生的7类LSA携带FA地址(forwarding adress),会传出本area,由ABR将7类转换为5类LSA,5类LSA中携带FA地址,会产生4类LSA,但是4类LSA没有作用;在NSSA区域中所有路由器通过1类LSA清楚ASBR的位置。在非NSSA区域中仅认为NSSA区域内的ABR为ASBR,不清楚真实ASBR的位置。
FA规则:若LSA中存在FA地址,则路由递归通信包括metric值的计算都是计算到达FA地址的,
当LSA中包含了FA地址,则4类LSA无效。
1、5类LSA不一定存在FA地址,7类LSA一定存在
2、若重发布产生5类LSA时,原路由对应的出接口OSPF网络类型为MA类型,则FA地址为原路由的下
一跳地址;若是7类转5类的5类LSA,默认一定携带FA地址
3、7类LSA中的FA地址,若原路由出接口没有运行OSPF,则FA地址为重发布路由器上的环回接口地
址,通告进入OSPF环回接口最大的地址或最后通告进入OSPF的环回接口地址,若没有环回则使用物
理接口,使用相同规则,若原路由出接口运行了OSPF,接口网络类型为P-P,FA为出接口地址,网
络类型为MA,则FA地址为下一跳地址
查看详细7类LSA:
r1#show ip ospf database nssa-external 6.6.6.0
在NSSA中默认不会自动下发缺省路由,在NSSA区域的ABR上手工下发
r1(config)#router ospf 100
r1(config-router)#area 2 nssa deault-information-originate
查看缺省
r1#show ip ospf database nssa-external 0.0.0.0
若在NSSA区域边界ABR上进行重发布,默认会重发布进入area 0和NSSA区域,需要过滤NSSA中重发布的路由:
r2(config)#router ospf 100
r2(config-router)#area 2 nssa default-information-originate no-redist
r2(config-router)#$ default-information-originate no-redistribution
查看
r2#show ip ospf database external 6.6.6.0
totally NSSA:完全的非完全末节区域,在NSSA区域基础上,过滤3类LSA,自动产生3类LSA缺省
配置:(NSSA区域的ABR上)
r3(config)#router ospf 100
r3(config-router)#area 2 nssa no-summary
查看:
r3#show ip ospf database
接口的metric值最大为65536
OSPF网络汇总
OSPF网络汇总支持VLSM和CIDR
汇总配置位置:ABR、ASBR
3类LSA汇总:在明细所属的ABR上配置:
r1(config-rotuer)#area 1 range 192.168.0.0 255.255.252.0 ?
查看
r3#show ip ospf database summary 192.168.0.0
5类LSA汇总:在ASBR上配置
r2(config-router)#summary-address 20.1.0.0 255.255.252.0 ?
7类LSA汇总:在ASBR上配置
//NSSA ASBR
r2(config-router)#summary-address 11.1.0.0 255.255.252.0 ?
//NSSA ABR
r2(config-router)#summary-address 11.1.0.0 255.255.252.0 ?
OSPF网络类型
1、环回 – loopback
网络类型:环回(OSPF协议特有)
物理接口:环回接口
不自动建立邻居关系,也不选举DR
特点:传递的路由为主机32位路由,cost值为1,且cost值不依赖bandwidth改变而改变,且不可以将其他接口网络类型改为loopback
loopback只能修改为点对点类型
r1(config)#ip ospf network point-to-point
2、点对点 – point-to-point
物理接口:串口(PPP,HDLC)、tunnel接口、virtual-link、sham-link、帧中继点对点子接口
hello时间10s,dead时间40s,自动建立邻居,不选举DR
3、广播型多路访问网络 – BMA(broadcast multi access)
支持广播,一对多通信
hello时间10s,dead时间40s,自动建立邻居,选举DR
特点:MA网络中产生2类LSA,并且1类LSA不完整
4、非广播型多路访问网络 – NBMA(non broadcast multi access)
物理接口:FR物理接口、FR-MP(多点子接口)
hello时间30s,dead时间120s,不自动建立邻居,可以手工指定单播邻居,选举DR
5、点对多点 – point-to-multipoint
物理接口:无
hello时间30s,dead时间120s,不能自动建立邻居,需要手工指定单播邻居,不选举DR
特点:学习对方的主机路由
6、点对多点非广播 – point-to-multipoint non broadcast
物理接口:无
hello时间30s,dead时间120s,不能自动建立邻居,需要手工指定单播邻居,不选举DR
特点:学习对方主机路由
hub-spoke网络
在hub-spoke网络中,若网络类型为NBMA,有三个步骤:
1、手工指定邻居
2、控制DR的位置,且不得出现BDR
3、spoke之间需要指定指向hub端的映射
OSPF中的计时器
修改hello时间会影响dead时间,修改dead时间不会影响hello时间。
transmit delay :传输延时,默认为1秒
传输延时的作用:在传递LSA时,封装好以后从接口传输出去这个过程会有时间的消耗,所以设置了transmit delay作为1秒的补偿时间,所以在发送时其实是81秒。
retransmit : 重传间隔,默认为5秒
OSPF的路由控制
一、修改AD值和metric值
AD值修改方式:
distance+<1-255>+产生这条LSA的router-id
metric值:
在ospf中, cost = 参 考 带 宽 接 口 带 宽 \frac{参考带宽}{接口带宽} 接口带宽参考带宽
metric值 = 所有接口的cost值之和
metric值修改方式:
首先进入某一接口:
ip ospf cost+<0-65536>
OSPF的不规则区域
比如:
在图中,area 2并没有和area 0相连,不符合OSPF的区域划分规则,对于这样的不规则区域,有三种解决方法:
1、OSPF的多进程重发布
可以在不规则区域的非骨干路由器上配置,创建新的OSPF进程,再双向重发布,将进程引入原先的进程
//R4
r4(config)#router ospf 1
r4(config-router)#redstribute ospf 2 subnets
//R5
r5(config)#router ospf 2
r5(config-router)#redstribute ospf 1 subnets
2、virtual link虚链路
虚链路在某个路由器的某个区域内配置,用虚链路穿越某一个区域,虚链路所穿越的区域不能为特殊区域,作用是延长了area 0,在virtual-link两端建立OSPF邻居,默认仅在邻居建立过程中发生hello报文。一旦建立抑制hello报文发送,通过virtual-link学习的LSA不老化。
r4(config)#router ospf 1
r4(config-router)#area 1 virtual-link 4.4.4.4
3、隧道 – tunnel
在area 0,与不规则区域边界上启用tunnel,配置tunnel地址,将tunnel接口通告进入OSPF area 0或不规则区域中,tunnel的cost值默认为1000
OSPF认证
OSPF的认证方式为三种:
1、链路认证
2、区域认证
3、虚链路认证
分为明文认证和MD5认证
Auth-type为0 – 无认证
Auth-type为1 – 明文认证
Auth-type为2 – 密文认证
链路认证
r1(config)#interface f0/0
r1(config-if)#ip ospf authentication //直接回车,明文认证
r1(config-if)#ip ospf authentication-key cisco //配置明文认证密码
r1(config-if)#ip ospf authentication message-digest //开启密文认证
r1(config-if)#ip ospf authentiaction message-digest-key 1 md5 cisco //配置密匙编号为1,密匙为cisco
区域认证
在路由协议的进程中,选择针对某个区域开启明文或md5认证
r1(config)#router ospf 1
r1(config-router)#area 1 authentication //明文认证
r1(config-router)#area 1 authentication md5 //密文认证
r1(config-router)#exit
r1(config)#int f0/0
r1(config-if)#ip ospf authentication-key cisco //明文密码
r1(config-if)#ip ospf authentication message-digest-key 1 md5 cisco //密文密码
虚链路认证
r1(config)#router ospf 1
r1(config-router)#area 1 virtual-link 4.4.4.4 authentication+或+ //为明文,为密文
OSPF的选路机制
O – 1类
OIA – 3类
OE1 – 5类,类型1
OE2 – 5类,类型2
ON1 – 7类,类型1
ON2 – 7类,类型2
O与O比较:
1、若通过area 0和非area 0同时学到同一条LSA,优先选择metric值小的,若metric值一致,则优先学习非area 0区域的,与AD值无关;
2、若通过两个非area 0区域学到同一条LSA,优先选择area ID小的。
修改某个router-id发送路由AD值,AD值改变,但是不能影响选路。
OIA与OIA
与AD值和area ID无关,仅仅与cost值有关,优先选择cost值小的,cost值若相同则负载均衡。
若同时通过area 0和非area 0学习到相同的3类LSA,非area 0不计算。
若通过修改AD值方式,生效则同时生效,不生效则都不生效。
OE与OE
OE1路由:与AD值无关,仅仅与seed-metric值和沿途累加的cost值之和有关,仅与总的度量值有关,若总度量值相同执行负载均衡。
OE2路由:与AD值无关,默认cost值为20,沿途经过链路cost不会显示出来,但是会计算,优先选择沿途cost累加和最小的(若seed-metric值不一致时优先选择seed-metric值最小的,与沿途累加无关)
ON与ON
与OE完全一致,与AD无关。
O与OIA:O永远优先
OIA与OE或ON:OIA永远优先
OE1与OE2:OE1永远优先
ON1与ON2:ON1永远优先
OE1与ON1:与AD值无关,在总cost值相同的情况下,优先选择OE1,cost值不同时,优先选择cost值小的,与seed-metric值无关。
OE2与ON2:与AD值无关,在总cost值相同的情况下,优先选择OE2,cost值不同时,优先选择cost值小的,若双方的seed-metric值不一致,优先选择seed-metric值小的。
OSPF防环机制
区域防环
为了避免区域间的环路,OSPF规定不允许直接在两个非骨干区域之间发送路由信息,只允许一个区域内部或者骨干区域和非骨干区域之间发布路由信息。因此,每一个ABR都必须连接到骨干区域
区域间水平分割
ABR只将3类LSA转发到骨干区域,如果开始发送的是本区域内的路由,那么该路由将不会再次被发送进入此区域。