OSPF只与建立了临界关系的邻居直接共享路由信息,
并不是所有的邻居都可以建立邻接关系的,这取决于网络类型和路由配置。一般都只和DR和BDR建立邻接关系。
OSPF广播地址
在broadcast network不论是DR,BDR,DRother,大家发送hello packet的时候目标地址都是AllSPFRouter(224.0.0.5);
DRother向DR,BDR发送DD,LSA request或者LSA UPdate时目标地址是AllDRouter(224.0.0.6);
DR,BDR向DRother发送DD,LSA Request或者LSA Update时目标地址是AllSPFRouter(224.0.0.5);
retransmit的LSA都是unicast,LSA ACK要看是explicit ack(unicast)还是implicit ack(multicast 224.0.0.6)
OSPF DR选举
首先看路由器的优先级,优先级相同的情况下就看路由ID,路由ID高的就会被推举为DR。优先级可以设置的,如果优先级被设置为0,则不会参加选举。(默认为1)
R2(config)#int f 0/0
R2(config-if)ip ospf priority ***(0-255)
但是对于已经选举完毕的网络,即使修改该了路由接口的优先级,但在已存在的DR或BDR被关闭之前,此路由器也将不会成为此局域网分段的DR。
BDR接受所有的路由更新,但是不泛发这些LSA更新包。
OSPF进程号,routerID,区域号。
OSPF的RID是用来标示此路由器的IP地址,路由器(cisco的)选择loopback和物理接口上最高ip作为起RID,ospf的进程ID只是表示在此路由器上运行的一个进程,只有本地意义,局部有效。同一区域的进程号可以一样也可以不一样。
Router#clear ip ospf process 相当于刷新ospf设置。
路由来源 |
管理距离 |
直接出口 |
0 |
使用出战接口配置的路由 |
0 |
使用下一跳地址配置的静态路由 |
1 |
EIGRP汇总路由 |
5 |
外部BGP |
20 |
内部EIGRP |
90 |
IGRP |
100 |
OSPF |
110 |
IS-IS自治系统 |
115 |
RIP |
120 |
EGP外部网关协议 |
140 |
ODR |
160 |
外部EIGRP |
170 |
内部BGP |
200 |
汇总路由
EIGRP和RIP:R2(config)#int f 0/0
R2(config-if)#ip summary-address eigrp/rio
OSPF :R2(config-router)#area 10 range 192.168.10.0 255.255.255.0
ACL
在配置ACL的时候,要注意默认的是deny any。因此在一个端口如果配置多个ACL的时候要注意,如果第一条就已经把所有的给deny掉了,那么剩下的ACL也就没有意义了。因此在每个端口上都只能有一个入口ACL和出口ACL。
#access-list 10 permit 172.16.0.3
#line vty 0 4
#access-class 10 in
控制Telnet到路由器上的IP。
rotary命令改变登录时的端口号码,
缺省的是23,rotary num 修改为3000+rotary的num
如num=25则端口改为了3025
可以使用show line vty 来查看rotary和access-class相关信息
FTP端口
FTP端口号是 21(和20)
FTP的端口号能改
控制端口一般为21,而数据端口不一定是20,这和FTP的应用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定
路由以太网端口vlan归属
路由器的以太网端口属于vlan 1 ,因此在配置的时候要让其端口作为其他vlan的网管,则只能开启子端口,并且封装相应的802.1协议的vlan号。
修改VTY的超时时长
提问:修改超时避免用户登录超时被系统断开
回答:
Router1(config)#line vty 0 4
Router1(config-line)#__exec-timeout 0 0 (__exec-timeout 240 0)
Router1(config-line)#rotary 1 (修改Telnet默认端口)
注释:
· 缺省情况下用户10分钟空闲就会被踢掉系统,0 0可以永不超时,第一个0是分钟,最长35791分钟(24天),第二个0是秒
· 同时为了防止有些用户掉死但是还占用vty端口的情况,建议使用下面命令来防止:
· Router1(config)#service tcp-keepalives-in //保证Tcp建立的入连结是活动的,如果路由器或交换机没有收到远程系统的响应,会自动关闭连接
· 使用show terminal命令查看当前线程的不活动时间
对Telnet访问进行日志记录
提问:记录每次telnet的日志
回答:
Router1(config)#access-list 90 permit any log
Router1(config)#line vty 0 4
Router1(config-line)#access-class 90 in
注释:
• 需要注意的是不管登录成功还是失败,在日志中都是显示的permitted
%SEC-6-IPACCESSLOGS: list 90 permitted 172.25.1.1 1 packet