OSPF的结构化部署——区域划分(也是一种优化措施)

目的:区域内部传递拓扑信息,区域之间传递路由信息(链路状态协议的距离矢量信息特征)

如果一个OSPF网络只存在一个区域,这个网络称为单区域OSPF网络;若存在多个区域,则称为多区域OSPF网络。

区域边界路由器(ABR)——同时属于两个区域,一个接口对应一个区域,将区域内的拓扑信息收集计算成路由信息,之后进行传递。

关于OSPF(接上回)

区域划分要求

1.区域之间必须存在ABR设备

2.区域划分必须按照星形拓扑结构进行划分,中间的区域为骨干区域。为了方便区分和标识不同的区域,所以我们给每一个区域都定义一个区域ID(area id),由32位二进制构成。

表示方法有两种

1.直接使用十进制进行表示。

2.使用点分十进制进行表示。

(骨干区域的区域ID定义为区域0)

1.OSPF的数据包

hello包 —— 周期性的发现,建立和保活邻居关系。

hello包的发送周期叫做hello时间 —— 10S(以太网中)/30S

死亡时间叫做dead time —— 4倍的hello时间

RID —— 区分和标识不同的路由器。

本质由32位二进制构成

1.格式统一

2.全网唯一

RID的生成方式:

1.手工配置

2.自动生成

首先,设备将优先选择环回接口的IP地址作为RID,如果存 在多个环回接口,则将选择所有环回接口中IP地址最大的作为RID;如果没有 配置环回接口,则将使用设备的物理接口的IP地址作为RID,如果物理接口存 在多个,则选择IP地址最大的作为RID。

DBD包——数据库描述报文 —— LSDB (链路状态数据库 )—— LSA —— 相当于“菜单”

SR包 —— 链路状态请求报文 —— 基于DBD包,请求未知的LSA信息 —— 相当于“点菜”

LSU包 —— 链路状态更新报文 —— 真正携带LSA的数据包 —— 相当于“上菜”

LSACK包 —— 链路状态确认报文 —— 确认包

OSPF协议具有周期更新机制,每个30MIN发送一次。(用处不大)

2.OSPF的状态机(图为思科设备)

思科设备回复hello为单播,华为为广播

Two - Way —— 双向通信状态 —— 标志着邻居关系的建立。

(条件匹配)条件匹配成功则可以进入到下一个状态,如果条件匹配失败。则将停留在邻居关系,则仅周期性的发送hello包进行保活。

主从关系选举:通过发送没有携带数据的DBD包来进行主从关系选举,比较RID来进行选
举,RID大的为主,为主可以优先进入后面的状态,之所以使用DBD包主要是为了和之前的邻居关系进行区分。

FULL:标志着邻接关系的建立。主要目的是为了和之前的邻居关系进行区分,邻居只 能通过hello包进行保活,而邻接之间,可以交换LSA信息。

down状态 —— 启动ospf之后,发出hello包进入下一个状态

init(初始化)状态 —— 收到对方的hello包中包含自己本地的RID,则进入到下一个状态

Two-way(双向通信) —— 标志着邻居关系的建立

(条件匹配)匹配成功,则进入到下一个状态;失败则停留在邻居状态,仅使用hello包进行周期保活。

exstart(预启动)状态 —— 通过发送没有携带数据的DBD包来进行主从关系选举,比较RID来进行选举,RID大的为主,为主可以优先进入后面的状态。

exchange(准交换)状态 —— 交换携带数据(摘要信息)的DBD包进行LSDB数据库目录共享

loading(加载)状态 —— 基于对端发送的DBD包,使用LSR/LSU/LSACK交换未知的LSA信息

FULL状态 —— 标志着邻接关系的建立。

3.OSPF的工作过程

启动配置完成,ospf协议向本地所有运行协议的接口以组播的形式(224.0.0.5)发送hello包;hello包中携带自己本地RID,以及本地已知的邻居的RID。之后,将收集到的邻居关系记录在一张表中 —— 邻居表;

邻居关系建立完成后,进行条件匹配。失败则停留在邻居关系,仅hello包进行保活。

邻居表中MTU等于0:传输时没有检测MTU所以表上值为0,并不是没有。

匹配成功,则开始建立邻接关系。首先,使用未携带数据的DBD包进行主从关系选举。之后,使用携带数据的DBD包共享目录信息,之后,基本DBD包,通过LSR/LSU/LSACK获取未知的LSA信息。将所有的LSA信息保存本地的LSDB数据库 —— 数据库表;

最后,基于LSDB使用SPF算法进行计算,得到未知网段的路由信息,将其加载到路由表。

收敛完成后,周期性的发送hello包进行保活,每30min一次周期更新。

结构突变:

1.突然新增一个网段:触发更新,第一时间将变更信息通过LSU包传递出去,需要ACK确认

2.突然断开一个网段:触发更新,第一时间将变更信息通过LSU包传递出去,需要ACK确认

3.无法联系 : dead time —— 40s

4.OSPF的基本配置

1.启动OSPF进程

[r1]ospf 1 router-id 1.1.1.1 —— 手工配置RID需要在进程启动时配置

[r1-ospf-1]

2.创建区域

[r1-ospf-1]area 0

[r1-ospf-1-area-0.0.0.0]

3.宣告

宣告的作用

1.激活接口 —— 只有宣告的网段包含的接口会被激活,只有激活的接口可以收发OSPF的数据。

2.发布路由 —— 只有激活的接口所对应的直连网段的路由才能被发布

[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0 —— 反掩码 —— 由连续的0和连续的1组成,0对应位不可变,1对应位可变。

[r1]display ospf peer —— 查看邻居表

[r1]display ospf peer brief —— 查看邻居关系简表

[r1]display ospf lsdb —— 查看数据库表

[r1]display ospf lsdb router 2.2.2.2 —— 展开一条LSA的方法

[r1]display ip routing-table protocol ospf —— 查看路由表

华为设备中OSPF协议的默认优先级为10。

COST = 参考带宽 / 真实带宽,华为设备默认的参考带宽为100Mbps

如果计算出来是一个小于1的小数,则直接按照1来算。如果是一个大于1的小数,只取整数部分。

[r1-ospf-1]bandwidth-reference 1000 —— 修改参考带宽

条件匹配

DR:指定路由器 —— 和广播域内其他设备建立邻接关系

BDR :备份指定路由器 —— 和广播域内其他设备建立邻接关系,称为DR设备的备份。 一个广播域内部,至少需要4台设备才能看到邻居关系。

DR和BDR其实是接口的概念

条件匹配 —— 在一个广播域中,若所有设备均为邻接关系,将出现大量的重复更新;故需要进行DR/BDR的选举,所有DRother之间,仅维持邻居关系即可。

DR/BDR的选举规则

1.先比较优先级,优先级最大的为DR,次大的为BDR

优先级默认为1 。

主要目的:让人为修改

[r1-GigabitEthernet0/0/0]ospf dr-priority ?

INTEGER<0-255> Router priority value

注意:如果将一个接口的优先级设置为0,则代表这个接口将放弃DR/BDR的选举。

2.如果优先级相同,则比较RID。RID大的路由器所对应的接口为DR,次大的为BDR。

DR/BDR的选举是非抢占模式的,一旦角色选举出来,则将无法抢占。

选举时间:40s(等同于死亡时间)

<r1>reset ospf 1 process --- 重启OSPF进程

OSPF的拓展配置

1.OSPF的手工认证

[r1-GigabitEthernet0/0/0]ospf authentication-mode md5 1 cipher 123456

2.手工汇总 —— 区域汇总

在ABR设备上进行配置

[r2-ospf-1-area-0.0.0.0]abr-summary 192.168.0.0 255.255.254.0

3.沉默接口

配置了沉默接口的接口,将只接受不发送路由信息

[r2-ospf-1]silent-interface GigabitEthernet 0/0/2

4.加快收敛(减少计时器的时间)
[r1-GigabitEthernet0/0/0]ospf timer hello 5 —— 修改hello时间的方法
[r2-GigabitEthernet0/0/0]ospf timer dead ?
 INTEGER<1-235926000> Second(s)
注意:邻居双方的hello时间和死亡时间必须相同,否则将断开邻居关系。
5.缺省路由
[r3-ospf-1]default-route-advertise 
注意:这个命令要求边界设备自身得具有缺省路由才行。
[r3-ospf-1]default-route-advertise always —— 在没有缺省的情况下,强制下发缺省。

ACL —— 访问控制列表

策略

ACL访问控制列表的作用:

1.访问控制 —— 在路由器流量流入或流出的接口上,匹配流量,然后执行设定好的动作 ——

permit(允许),deny(拒绝)。

2,抓取感兴趣流 —— ACL的另一个作用就是和其他服务结合使用。ACL只负责抓取流量,动作由其他服务来执行。

ACL列表的匹配规则:自上而下,逐一匹配。如果匹配到了,则执行对应的动作,则不再向下匹配。

思科的ACL列表末尾默认包含一条拒绝所有的规则。

华为的ACL列表末尾没有包含任何规则。

ACL列表的分类:

1.基础ACL —— 仅关注数据包中的源IP地址 —— “只关注你是谁”

2.高级ACL —— 不仅关注数据包中的源IP地址,还关注目标IP地址,以及协议和端口号 ——“不仅关注你是谁,还关注你去哪,干啥”

3.二层ACL

用户自定义ACL列表

需求一:要求PC1可以访问3.0网段,但是PC2不行。

基础ACL配置的位置原则:因为基础ACL只关注源IP地址,所以,可能会造成误伤,所以,建议基础ACL配置位置越靠近目标越好。

基础ACL配置:

1.创建ACL列表

[r2]acl ?

INTEGER<2000-2999> Basic access-list(add to current using rules) —— 基础ACL

INTEGER<3000-3999> Advanced access-list(add to current using rules) —— 高级ACL

INTEGER<4000-4999> Specify a L2 acl group —— 二层ACL

ipv6 ACL IPv6

name Specify a named ACL

number Specify a numbered ACL

[r2]acl 2000

[r2-acl-basic-2000]

2.在ACL列表中添加规则

[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0 —— 通配符 —— 0代表不可变,1代表可变(通配符和反掩码不同,他可以0和1穿插着使用)

[r2-acl-basic-2000]rule permit source any —— 允许所有

[r2]display acl 2000 —— 查看ACL列表

华为的规则默认以5为步调自动添加序号,目的为了方便插入规则

[r2-acl-basic-2000]undo rule 7 —— 删除规则

3.在接口上调用ACL列表

[r2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

切记:一个接口的一个方向上只能调用一张ACL列表

需求二:要求PC1可以ping通PC3,但是不能ping通PC4。

高级ACL列表配置位置原则:

因为高级ACL列表可以进行精准的匹配,所以,位置应该放在尽可能靠近源的地方,可以 节约链路资源。

[r1]acl name xueqiuer 3000 —— 通过重命名的方法来创建高级ACL列表

[r1-acl-adv-xueqiuer]

[r1-acl-adv-xueqiuer]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.3 0.0.0.0 —— 高级ACL列表规则

[r1-GigabitEthernet0/0/0]traffic-filter inbound acl name xueqiuer —— 通过调用名称来调用列表

需求三:要求AR3可以ping通R2,但是不能telnetR2

[r1-acl-adv-xueqiuer]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0

destination-port eq 23

VLAN

V:Virtual —— 虚拟

LAN : 局域网

VLAN —— 虚拟局域网 —— 虚拟广播域 —— 交换机和路由器协同工作后,将原来的一个广播域, 逻辑上切分为多个

第一步:创建VLAN

<Huawei>display vlan —— 查看设备VLAN的配置信息

交换机在没有进行配置的时候,默认存在一个VLAN,其VID为1。

802.1Q标准对VID (VLAN ID:用来区分和标定不同的VLAN)进行设定 —— 12位二进制 构成的 : 0 - 4095。因为0和4095这两个数字保留,真实的取值范围1 - 4094。

[Huawei]vlan 2 —— 创建VLAN

[Huawei-vlan2]q

[Huawei]vlan batch 4 to 100 —— 批量创建VLAN

Info: This operation may take a few seconds. Please wait for a moment...done.

[Huawei]

[Huawei]undo vlan batch 4 to 100 —— 批量删除

Warning: The configurations of the VLAN will be deleted. Continue?[Y/N]:y

第二步:将接口划入VLAN

VID配置映射到交换机的接口上,实现VLAN范围的划分 —— 物理VLAN/一层VLAN

VID配置映射到数据帧中的MAC地址上,实现VLAN的划分 —— 二层VLAN

VID可以配置映射到数据帧中类型字段上,实现VLAN的划分 —— 三层VLAN

基于IP地址进行VLAN的划分,基于策略完成VLAN的划分。

802.1Q帧 —— 在以太网Ⅱ型帧源MAC地址和类型字段之间,增加了4个字节的tag,其中包 含12位的VID。 —— Tagged帧

电脑只能识别普通的以太网Ⅱ型帧—— Untagged帧

根据以上特性,我们将交换机和电脑之间的链路称为Access链路(交换机侧的接口称为Access接口),这些链路中,只能通过Untagged帧,并且这些帧只能属于某一种特定的VLAN;交换机和交换机之间的链路,我们称为Trunk干道(交换机侧的接口称为Trunk接口),这些链路允许通过tagged帧,并且这些帧可以属于多种VLAN。

第三步:配置Trunk干道

第二步配置:

[sw1-GigabitEthernet0/0/1]port link-type access

[sw1-GigabitEthernet0/0/1]port default vlan 2

[sw1]port-group group-member GigabitEthernet 0/0/3 GigabitEthernet 0/0/4 ---创建接口组

[sw1-port-group]

[sw1-port-group]port link-type access

[sw1-GigabitEthernet0/0/3]port link-type access

[sw1-GigabitEthernet0/0/4]port link-type access

[sw1-port-group]port default vlan 3

[sw1-GigabitEthernet0/0/3]port default vlan 3

[sw1-GigabitEthernet0/0/4]port default vlan 3

第三步配置:

[sw1-GigabitEthernet0/0/5]port link-type trunk

[sw1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 to 3

[sw2-GigabitEthernet0/0/3]port trunk allow-pass vlan all —— 放通所有VLAN的流量

第四步:VLAN间路由

1.创建子接口 —— 单臂路由

[r1]interface GigabitEthernet 0/0/0.?

<1-4096> GigabitEthernet interface subinterface number

[r1]interface GigabitEthernet 0/0/0.1

[r1-GigabitEthernet0/0/0.1]ip address 192.168.1.254 24

[r1-GigabitEthernet0/0/0.1]dot1q termination vid 2(识别带有标签2的帧)

[r1-GigabitEthernet0/0/0.1]arp broadcast enable (打开arp才可行)

NAT:网络地址转换
 在IP地址空间中,A,B,C三类地址中各有一部分地址,他们被称为私有IP地址(私网地
址),其余的被称为公有IP地址(公网地址)

A:10.0.0.0 - 10.255.255.255 —— 相当于1条A类网段

B:172.16.0.0 - 172.31.255.255 —— 相当于16条B类网段

C:192.168.0.0 - 192.168.255.255 —— 相当于256条C类网段

我们要求这些私网地址可以重复使用,仅需保证私网内部唯一即可,但是,不允许他们在互联网中使用

我们一般习惯性的将使用私网IP地址构成的网络称为私网,使用公网IP地址构成的网路称为 公网。

NAT —— 网络地址转换 —— 他的基本任务就是实现私网地址和公网地址之间的一个转换。

1.静态NAT
2.动态NAT
3.NAPT
4.端口映射
华为设备所有和NAT相关的配置都是在边界路由器的出接口上配置的。
静态NAT —— 一对一的NAT
静态NAT就是通过在边界路由器上维护一张静态地址映射表。静态地址映射表中记录的是私
网IP地址和公网IP地址之间一一对应的关系。

[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2

1.必须在12.0.0.0/24网段
2.这个IP地址必须是花钱在运营商处买到的合法公网地址

[r2]display nat static —— 查看静态地址映射表

动态NAT —— 多对多的NAT
动态NAT就是通过在边界路由器上维护一张动态地址映射表。可以实现多对多的NAT转
换,但是,在同一时刻,依然是一对一的过程。如果上网需求较大时,需要排对等待。

1.创建公网地址池
[r2]nat address-group 0 12.0.0.4 12.0.0.8

2.通过ACL列表抓取私网流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

3.在接口上配置动态NAT

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat

NAPT —— 网络地址端口转换 —— PAT

一对多 —— easy ip

多对多

多对多的配置:

1.创建公网地址池

[r2]nat address-group 0 12.0.0.4 12.0.0.8

2.通过ACL列表抓取私网流量

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

3.在接口上配置动态NAT

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0

Easy ip

1.通过ACL列表抓取私网流量

[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255

2.在接口上配置easy ip

[r2-GigabitEthernet0/0/2]nat outbound 2000

端口映射

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

外网访问端口号为80的服务器

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80

如果同时有两台端口号为80的服务器,可以将其中一台改为端口号8080

云计算笔记10day、11day相关推荐

  1. 云计算笔记一 云计算系统的产生

    1. 云计算 将IT资源变得像水电资源一样易于管理和流通. 2.云存储 四层:物理层 + 管理层 + API层 + 客户端 3. 公有云和私有云 两因素导致公有云的发展并没有跟上私有云的步伐(私有云老 ...

  2. 云计算笔记(Linux入门)

    云计算的介绍 什么是服务器 能够为其他计算机提供服务的更高级的电脑,分别有以下几种 机架式 塔式 机柜式 刀片式 典型服务模式 C/S,Client/Server架构 由服务器提供资源或某种功能 客户 ...

  3. oss按量付费_ACP云计算笔记—VPCamp;OSS

    VPC ecs服务器如何从经典网络迁移到vpc网络:创建ecs镜像,在vpc中重新部署. 经典网络ecs具有公网网卡,无法使用eip.eip使用按流量计费. vpc交换机是3层交换机,不支持2层广播和 ...

  4. 云计算笔记---day3

    内容回顾 对等网 --- 大 --- 1,延长传输距离:2,增加网络节点数量 --- 放大器(中继器) --- 物理层 设备 --- 5倍的传输距离 --- 星型拓扑 --- 集线器(hub) --- ...

  5. 云计算笔记part.1——系统管理

    奥里给给 文章目录 前言 Linux系统 linux版本及应用 虚拟机 Linux基础操作 mount挂载操作 归档及压缩 重定向 管道操作 find基本使用 find高级使用 vim编辑技巧 RPM ...

  6. 如何从为知笔记迁移到有道云笔记

    今天是狠狠地体会到了各个云计算笔记之间的不兼容性.为知笔记很多插件很好用,但是都是支持有道云笔记和EverNote导入到为知笔记,没有从为知笔记导入到其他笔记的插件.今天一个很重要的笔记丢失,不再对为 ...

  7. FusionCompute

    FusionCompute 一.什么是虚拟化? 数据中心的变革: 传统数据中心:硬件服务器+OS+APP 虚拟化数据中心:一个硬件可以跑N个VM,成本降低 云数据中心:云是一种商业运营模式,使用虚拟化 ...

  8. 有道乐读拥抱AWS利用AmazonWebServices部署云上的少儿图书馆

    通过 Amazon Personalize,有道乐读 APP 研发团队在一个月内成功打造少儿图书的精准化推荐场景,实现 20% 的月活跃用户提升." --姜为有道乐读 资深服务器开发工程师 ...

  9. 第三届中国云计算用户大会笔记和心得

    目录 目录 前言 云计算产业现状及技术展望 如何在云服务生态圈中安全共存 企业的数字化转型 最佳组合的混合云实践 技术分会场 前言 2016/07/18 第三届中国云计算用户大会,一个主会场.两个分会 ...

最新文章

  1. python 64位程序 打包用于32位系统_python分别打包出32位和64位应用程序
  2. 学习Python编程开发可以从事的岗位有哪些?
  3. 你还在为了进高校做教师而读博吗?
  4. mysql命令行查看端口占用_linux下常用命令查看端口占用
  5. Quartz-JobDataMap 参数传递
  6. R语言:文本(字符串)处理与正则表达式
  7. QT的QDesignerWidgetBoxInterface类的使用
  8. python选择题题库for、if_Python题目1:猜年龄(for、if else和where)
  9. 年终盘点 | 2019年Java面试题汇总篇(附答案)
  10. 为apache添加SSL支持
  11. 【字典树】添加和查找单词
  12. java的Timer定时器
  13. Jsoup使用~抓取豆瓣妹子图
  14. 大数据分析方法有哪几种?
  15. setPositiveButton和setNegativeButton
  16. 我的世界服务器扔东西显示垃圾箱,我的世界:MC里6个隐藏的垃圾桶,第一个可回收,第二个很常见?...
  17. 一个大型高并发系统的性能调优会涉及到什么?
  18. 国际禁毒日 | 和TcaplusDB一起向毒品say NO!
  19. 【MySQL】MySQL复制技术
  20. # 个人日记-电影《关于我妈的一切》观后感-20210922

热门文章

  1. CAR-T疗法新突破
  2. signature=c88a0f4ae4be8f22f567611f36d2d20d,ブロードキャスト専用ネットワーク間の中間 IP マルチキャスト ヘルパーの設定...
  3. 使用CainAbel进行网络嗅探
  4. 大数据运维HBase
  5. windows下载安装opencv
  6. STM32的SPI外设片选只有一个怎么破?
  7. 白盒测试——数据流测试
  8. TTCALL 网络电话
  9. 矿大计算机考研上岸分数,这些考研院校,今年上岸更容易!初试占比高达70%!...
  10. CentOS7出现网络不可达情况