第五天 2018年8月24日, 星期五 8:59 OSPF(开放式最短路径优先) 典型的链路状态路由协议 设备与设备间传递LSA链路状态通告(参与OSPF网络接口地址、类型、带宽等等) 相同区域内设备同步LSA形成LSDB链路状态数据库 通过LSDB计算出最佳路径放入路由表 基本信息 协议号：89 优先级：内部10、外部150 Cost：10^8/接口带宽的累加(路由传递入方向)，参考带宽100M=1 更新方式：组播，地址224.0.0.5和224.0.0.6 消息类型： Hello--------------发现、建立和维护OSPF设备间的邻居关系 DBD---------------数据库描述报文，LSDB的目录(第一个DBD用于选举主从关系) LSR----------------链路状态请求，针对未知的LSA发送请求 LSU----------------链路状态更新，携带了具体的LSA信息 LSAck-------------收到了邻居的LSU后要进行确认 OSPF的邻居状态机 Down----------设备刚加电或者刚完成OSPF配置 Init-------------发送第一个Hello包 2-way---------收到邻居的Hello并且当中携带了自己的信息(邻居关系) 培 机 算 计 Exstart--------交互第一个DBD，选举主从关系 Exchange----交互携带目录信息的DBD Loading------交互LSA Full------------LSDB同步完成(邻接关系) 和 万 苏 每台OSPF设备都需要拥有一个Router-id，用来在区域内唯一标识一台OSPF设备，选举原则: ①手工配置 ③使用最大的物理接口的地址 ②使用最大的Loopback接口(环回接口，逻辑创建，除非删除否则永远不会down)的地址 OSPF引入了区域的概念，范围0-4294967295，可以用十进制或点分十进制表示 ①骨干区域------------配置OSPF必须有的区域，区域 ID为0 ②常规区域------------1-4294967295 ———————————————————————————————————— 江 心 中 训 OSPF宣告时可以利用通配符灵活控制宣告范围： 0匹配的bit位不可变 1匹配的bit位可变 常用的宣告配置方法： 宣告所有192.168.10开头的网段-------network 192.168.10.0 0.0.0.255 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 1 页 

宣告所有192.168.10开头的网段-------network 192.168.10.0 0.0.0.255 宣告所有10开头的网段-------------------network 10.0.0.0 0.255.255.255 只宣告192.168.10.254接口所在的网段-network 192.168.10.254 0.0.0.0 全网宣告--------------------------------------network 0.0.0.0 255.255.255.255 基本配置：IP地址 [R1]ospf router-id 1.1.1.1 [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 192.168.10.254 0.0.0.0 [R1-ospf-1-area-0.0.0.0]network 12.1.1.1 0.0.0.0 [R2]ospf router-id 2.2.2.2 [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 12.1.1.2 0.0.0.0 [R2-ospf-1-area-0.0.0.0]network 192.168.20.254 0.0.0.0 测试：PC1 ping PC2 如果已经配置过OSPF，想要修改Router-id，需要敲命令： reset ospf process 配置完成后可以观察OSPF的三张表： ①邻居表--------------display ospf peer brief display ospf peer brief OSPF Process 1 with Router ID 1.1.1.1 Peer Statistic Information 心 中 训 培 机 和 万 苏 ---------------------------------------------------------------------------- Area Id Interface Neighbor id State 0.0.0.0 GigabitEthernet0/0/0 2.2.2.2 Full ---------------------------------------------------------------------------- Area ID------------当前设备与邻居相连所在的区域 Interface----------当前设备与邻居相连所用的接口 Neighbor id------邻居的Router-id State---------------与邻居的状态 OSPF建立邻居的必要条件： 1.router-id不能冲突 2.area id一致 算 计 3.hello间隔和dead时间一致(10s发送一次hello，40s没有收到邻居的hello解除邻居关系) display ospf interface g0/0/0 OSPF Process 1 with Router ID 1.1.1.1 Interfaces 江 Interface: 12.1.1.1 (GigabitEthernet0/0/0) Cost: 1 State: BDR Type: Broadcast MTU: 1500 Priority: 1 Designated Router: 12.1.1.2 Backup Designated Router: 12.1.1.1 Timers: Hello 10 , Dead 40 , Poll 120 , Retransmit 5 , Transmit Delay 1 4.末节区域标识一致 5.认证类型一致、认证通过 ②LSDB-----------------display ospf lsdb ③路由表--------------display ip routing-table procotol ospf 通过双绞线这种介质连接的拓扑图，OSPF会统一认为是MA多路访问拓扑 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 2 页 

由于MA网络中泛洪LSA可能会导致大量的重复LSA浪费网络资源 OSPF需要选举DR和BDR，选举原则：(无法抢占) ①优先级比大，默认为1，最大255(如果修改为0表示永久退出竞选) ②Router-id比大 DRothers只和DR、BDR建立邻接关系，DRothers之间只能建立邻居关系 DR和BDR使用了组播地址224.0.0.6 所有的OSPF设备使用组播地址224.0.0.5 由于DR和BDR的竞选时间为40s，在2-way状态竞选 ACL(访问控制列表) 可以用于匹配网络中的特定流量 匹配之后可以选择进行包过滤或者作为其他控制工具的调用工具 标准ACL-----------2000-2999 只能匹配流量的源IP地址 推荐部署在距离目标最近的设备，调用在最近的接口 如果希望网络中的DR和BDR按照规划进行选举，需要在配置宣告之前进行优先级的配置，从优先级大的设备开始配 优先级配置： [R1-GigabitEthernet0/0/0]ospf dr-priority <0-255> ———————————————————————————————————————————————— 心 中 训 培 机 算 计 和 要求：禁止192.168.10.1这个地址访问PC2 [R2]acl 2000 [R2-acl-basic-2000]rule deny source 192.168.10.1 0 [R2]in g0/0/1 [R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000 测试：PC1无法访问PC2,但是如果将地址换成192.168.10.2(或除了10.1的其他地址)，就又可以访问了 万 苏 江 扩展ACL-----------3000-3999 可以匹配流量的五元组(源、目IP，协议，源、目端口号) 扩展ACL推荐部署在距离源最近的设备，调用在最近的接口 要求：192.168.10.0网段(除了192.168.10.100这个地址)不能访问服务器的FTP服务，其他网段不受影响 配置： [R1]acl 3000 [R1-acl-adv-3000]rule permit tcp source 192.168.10.100 0 destination 192.168.20.1 0 destination-port range 20 21 [R1-acl-adv-3000]rule deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.1 0 destination-port range 20 21 —————————————————————————————————————————————————— 路由重发布 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 3 页 

路由重发布 当网络中出现了不止一种路由协议，可以使用重发布兼容不同协议 命令： ospf引入rip的路由： [R1]ospf [R1-ospf-1]import-route rip rip引入ospf的路由： [R1]rip [R1-rip-1]import-route ospf —————————————————————————————————————————————————— NAT(网络地址转换) 将私网地址和公网地址进行转换 缓解IPv4地址不够用的状况 ①静态NAT------------------私网地址和公网地址1对1的转换(衍生技术---端口映射常用于发布内网服务) ②动态NAT------------------当拥有多个公网地址时，可以创建公网地址池实现私网与公网多对多的转换 ③PAT/NAPT----------------拥有多个公网地址，创建地址池，并且池中的地址可以被复用 ④Easy-IP--------------------只有一个公网地址或者使用PPPoE方式连接互联网，所有内网的地址都会使用一个公网地址转换 心 中 训 培 机 算 配置过程： ①出口设备配置默认路由指向运营商 [R1]ip route-static 0.0.0.0 0 202.100.10.2 内网设备也需要默认路由，配置方案： a.内网每台设备配置默认路由指向出口方向 b.出口设备通过动态路由下发默认路由 [R1]rip [R1-rip-1]default-route originate [R1]ospf [R1-ospf-1]default-route-advertise ②出口设备配置ACL匹配允许上网的流量 [R1]acl 2000 [R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 [R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255 [R1-acl-basic-2000]rule permit source 192.168.30.0 0.0.0.255 [R1-acl-basic-2000]rule permit source 192.168.40.0 0.0.0.255 如果内网所有网段都允许上网，可以配置： [R1-acl-basic-2000]rule permit 计 和 ③NAT源地址转换配置 [R1]in s1/0/0-----------------------------------公网接口 [R1-Serial1/0/0]nat outbound 2000-----2000为ACL列表号 万 苏 江 ———————————————————————————————————————————— 广域网二层 串口线--------------过去广域网互连频繁使用 华为设备默认的串口标准---------E1，带宽为2.048M 思科设备默认的串口标准---------T1，带宽为1.544M 数据链路层封装 思科默认--------------HDLC高级数据链路控制，不支持认证 华为默认--------------PPP点到点协议，支持认证 现今客户和运营商对接频繁使用PPPoE(PPP over Ethernet) PPP支持两种认证： ①PAP------------------简单密码认证，用户名和密码以明文方式发送 ②CHAP----------------挑战握手认证，用户名和密码以加密方式发送 配置： 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 4 页 

配置： 企业端 [R1]in s1/0/0 [R1-Serial1/0/0]ppp chap user HCIE [R1-Serial1/0/0]ppp chap password cipher 123456 运营商端 [ISP]in s1/0/0 [ISP-Serial1/0/0]ppp authentication-mode chap [ISP]aaa [ISP-aaa]local-user HCIE password cipher 123456 [ISP-aaa]local-user hcie service-type ppp 心 中 训 培 机 算 计 和 万 苏 江 江苏省南京市鼓楼区中山北路26号新晨国际大厦23楼 冷老师QQ：2623640877 分区 8.20HCNA 的第 5 页