局网建设基础知识 第1篇
3.最大的物理接口的IP地址。
注意:如果在不同区域内RID相同此时不影响邻居关系的建立。
在同一区域内时,两边配置相同RID的路由器都能与中中间的路由器建立起邻居关系,但相互之间建立不起来,并且相互学习不到对方的路由,并且中间的路由器不能同时存在两边路由器上的路由,会在两者之间来回跳。
LSA Types
Type1-Router LSA:由每台路由器产生,包含路由器的 直连链路的接口IP前缀和开销,描述到达每台路由的可达性,在其始发的区域内传播。
Type2-Network LSA:由DR产生,描述 直连路由器RID和 直连网段的掩码,表述到达DR或BDR的可达性,在其始发的区域内传播。
Type3-Network Summary LSA:由ABR产生,用来通告本区域外的路由信息(包括前缀、掩码、开销),描述到达ABR的可达性,整个OSPF区域内。
Type4-ASBR Summary LSA:由ABR产生, 通告这台ASBR的可达性(ASBR的RID),在整个OSPF区域内传播。
Type5-AS External LSA:由ASBR产生,描述 到达自治系统外部的路由信息,在整个AS内泛洪(除了Stub,NSSA区域)。
Type7-NSSA External LSA:由NSSA区域内的ASBR产生,描述到达AS外部的路由,在NSSA区域内泛洪。
注意:NSSA External LSA其头部有一个P-bit标志,其置1的时候,会在NSSA区域的ABR路由器上将Type-7的LSA转换为Type-5的LSA然后扩散到其他区域。
而Stub区域内的路由器所发送的Hello包中会有一个E-bit,其置0,表示不接收外部任何置1的Hello包,也就无法与非Stub区域的路由器构成邻接关系了。
了解的LSA:
Type6-MOSPF,用在组播OSPF中。
Type8-External Attribute LSA:外部属性LSA,用在将BGP路由信息重发布到OSPF中携带AS-PATH属性。
Type9-10-11-Opaque LSA:非透明LSA,用于OSPF扩展属性的。
LSA的类型:
O, O IA, E1, E2;E2外部路由的Cost值都相同,E1会加上区域内的的COST。
我们一定要弄懂,COST值是以出接口计算的。无论RIP、EIGRP、OSPF都是这样的。
OSPF链路状态数据库过载保护:在进程下设置:max-lsa 12000(允许接收lsa的最大条目)
如果超过最大数量则会报警: Maximum number of non self-generated LSA has been exceeded _ospf 1_ - 2 LSAs,并且过一会儿会down掉邻居关系。
OSPF的被动接口是:禁止发送或接收链路状态更新。
有两种方式:1.先passive-interface default所有端口,再反向开启不被动的接口:no passive-interface s0/0
2.直接passive-interface掉所有要被动的接口。
这个passive接口的作用:比如路由器上的某个端口接的是交换机,我们为了不让OSPF向这个端口发送LSU的包,我们可以将其接口设置为被动接口。有人说为什么之前不发布这个接口不就好了。呵呵,如果我们不通告这个接口那么OSPF的其他路由器就无法学习到这个网段,那么根本就不会通了。注意我们不要再传输网上使用被动接口,否则OSPF的邻居关系就会down掉,只能用在末节网络。
OSPF防环机制:
AS内防环机制是通过SPF算法计算路由,从算法本身保证了不会生成环路。
AS间防环:通过区域划分,非骨干区域简直的通讯只能靠骨干区域通讯,区域之间的传输是矢量的,因此就会有区域间的水平分割。
虚链路:
如果非骨干区域没有与骨干区域相连,或者区域0被隔开了或者不来连续,那么就要用到虚链路把各区域的ABR连接起来。并且在虚链路上不会有hello包的产生,因为其实一个虚拟隧道。
我们倾向使用RID建立虚链路,这样更稳定:area n vitual-link router-id
通过:show ip ospf vitual-links查看其状态。看到:Adjacency State FULL(hello suppressed )
路由汇总:
1.隐藏网络的不稳定性。
2.节约路由表体积,节约CPU资源,减少LSA在网络上的洪泛。
区域间汇总:针对类型3LSA汇总(O IA);在ABR上汇总。
域间汇总:针对类型5LSA汇总(O E1、O E2);在ASBR上汇总。
执行了路由汇总的路由器会自动生成一条通往Null0接口的空路由,防止环路。这个 防环主要是在执行汇总路由的路由器上收到上游路由器发送给他的默认路由,那么当某条明细路由down掉后就会匹配这条默认路由,至此就会形成路由环路。
区域间汇总:area n range n指的明细路由所在的区域。
默认情况下使用area range命令施行路由汇总后,会自动产生一条指向空接口的null0路由,不过可以通过no discard-route不在它的路由表中加载这条路由。不过如果没有自动创建,可以使用discard-route命令创建。
汇总路由会继承所有明细路由中开销最小值,如果最小开销的路由down掉后,SPF算法会重新计算。OSPF在链路状态变化(比如接口优先级、up/down、cost值)时会重新进行SPF计算。
环回口默认的开销值为1。
对于域外汇总其实在ASBR路由器上使用命令:summary-address
area range命令的缺省行为是通告指定的范围。它也可以用来抑制一个地址范围的通告,使用关键字:not-advertise的命令area range将使指定范围的前缀被抑制。
OSPF区域间路由过滤:
使用前缀列表挑选路由:
ip prefix-list LIST1 seq 10 deny
ip prefix-list LIST1 seq 20 permit 非允许即禁止。
router os 1
area n filter-list prefix LIST out|in
OSPF的默认路由
对于OSPF域内去往AS外时,此时我们可以让ASBR路由器向区域内宣告一条类型为:O*E2的默认路由。当有多台ASBR时,我们最好修改其通告默认路由的开销,让其他的条目做备份。
命令:default-information originate,不过前提是ASBR上必须有一条默认路由,如果没有的话我们可以创建一条指向null0的默认路由:ip route null0。不过我们可以通过命令 default-information originate always忽略这个规则。
OSPF特殊区域
局网建设基础知识 第2篇
iBGP防环:通过iBGP对等体学到的BGP更新将不能传输给任意的iBGP邻居,即iBGP更新只传一条。
eBGP放缓:通过AS_PATH中的AS_SET属性进行防环,即当运行BGP的路由器在接收到来自外部对等体的一条路由中发现自己的AS号,此时就会忽略该路由。
iBGP的全互联
这个用于解决iBGP防环机制,也就是iBGP的水平分割的一种方法,一般采用逻辑的Full-Mesh。我们知道BGP是建立在TCP179端口上的,我们如何保证TCP正确建立呢,这里只要双方能够ping通即可,这点我们可以运行IGP协议即可。尤其是在发生路由聚合后,会加入AS-SET以防止路由环路。但是这个问题是降低了路由的稳定性。
路由抑制
路由摆动(Route Flap)是Internet不稳定的主要因素,当一条有效路由被宣告为无效,然后又被宣告为有效,此时我们会给变化的路由一个惩罚值,即路由摆动得越多,其惩罚值累加,然后惩罚值会自动降低,我们在此设置一个半衰期,如果惩罚值超过抑制门限,那么就不会对外宣告该路由,当惩罚值降低到重用门限后,才会解除该路由的抑制,不过抑制时间会有一个上限,叫做最大抑制时间--60分钟,这个时间一般设置为半衰期的4倍。我们可以通过:bgp dampening来更改。
局网建设基础知识 第3篇
由于整个网络较大,所以必须通过划分VLAN来实现流量的合理分配、内部网络的安全。通常VLAN的实现有以下几种方法:
●基于端口的虚拟工作组,
●基于MAC、协议、子网的虚拟工作组,
●Tagged VLAN:通过在数据帧中增加VLAN标记位来区分不同的工作组。
我们选用的Catalyst 6506等交换机都支持以上各种VLAN的划分方法。
BR>设计建议:
虽然三种方式各有千秋,但是从实际出发,采用基于交换端口的VLAN划分方式是一种理想的选择,也是目前实际中普遍采用的划分方式。
考虑到网络安全性的需要,还可以在路由交换机上进行相应的设置,实现网络访问控制。比如我们可以限制哪些用户拥有访问中心服务器的权利,哪些则没有。
根据以上思想,我们可以将计算机网络(根据不同的部门划分)划分成几个不同的虚拟网,并赋予不同的IP子网地址。
局网建设基础知识 第4篇
比如对于运行商提供的是一个二层网络,同一台交换服务与两个公司,但是这两个公司所处的VLAN有重叠。
我们的做法就是在运行商的交换机上将不同公司划分到不同的大VLAN中,这样公司内的数据帧在经过运行商提供的交换机传输的时候就被打上了二层标签。
外层tag与内存tag没有关系。
命令:首先在接公司的交换机的接口上划分大vlan:switchport access vlan 30
然后:switchport mode dot1q-tunnel即可。
VTP
Server
Clinet
Transparent
VTP的Server和Clinet同步vlan信息的时候都是根据Revision(修订号)学习的,无论是Server还是Client,只要谁的修订号大,就会学习对方的VLAN信息。注意Revision号指的是变动数,只要增加删除修改一项,这个修订号就会增加1。
VTP修剪技术会使用VLAN通告消息来判断Trunk连接何时正在扩散不必要的流量。VTP修剪可以将泛洪的流量限制在恰好的范围内,可以提高链路可用的带宽。这个可以通过vtp pruning来启用。
p-vlan(私用vlan):隔离同一VLAN中处于同一IP子网内终端设备间的通信,
EtherChannel
PAgp(端口聚集协议)和LACP(链路聚集协议)
PAgP模式:(端口之间发送PAgP数据包进行协商,这点类似于VLAN的DTP)
auto 我们建议使用on模式,来禁止发送PAgP的数据包,以此来减少链路上不必要的流量。
desirable
non-silent
LACP模式:
Passive
Active
EtherChannel负载分担选项:
使用port-channel load-balance ?来进行选择。
比如二层交换默认采用src-mac。而三层端口默认采用soc-dst-ip
局网建设基础知识 第5篇
将虚拟IP和虚拟MAC,主机把虚拟IP配置为自己的默认网关,主机利用ARP来解析默认网关IP对应的MAC时,ARP返回虚拟MAC,主机发往虚拟MAC的数据会由虚拟路由器组中处于活跃的路由器承担。这些对于主机来说是透明的。
HSRP中的角色:
1.虚拟路由器:就是那对IP和MAC
2.活跃路由器:在HSRP组中,承担实际数据转发的路由器。
3.备份路由器:时刻监听活跃路由器发送的Hello(3s,10s监听不到就认为主down掉了)包,一旦活跃路由器down掉,备用路由器承担转发角色。
4.其他路由器:一个HSRP组中活跃路由器和备用路由器只有一个,其他路由器处于初始状态,当它们都发生故障时,其他路由器就会精选活跃和备份路由器。
HSRP状态:
1.初始(Inital)
2.监听(Listen)
3.宣告(Speak)
4.备用(Stanby)
5.活跃(Active)
这个可以配置抢占模式的(Preempt)
备用和活跃路由器是根据 优先级(0~255,默认0)选举的,优先级相同规则具有最高的IP地址的将成为活跃路由器。
注意:HSRP全部配置都在VLAN接口下配置的。
HSRP的接口追踪和路由追踪
standby 1 track interface f0/0 10(接口f0/0down掉后,会将该路由器的优先级降低10)
我们也可以创建多个HSRP组,对于不同的IP子网配置不同的活跃路由和备份路由器
管理员可以同时将某个设备设置为VLAN生成树的根桥和HSRP活跃路由器,这样可以保证二层转发路径直接到达三层的活跃路由器。需要为每一个VLAN配置一个组,一个IP地址。
局网建设基础知识 第6篇
办公网络系统主要是为了让公务人员从繁重的文字处理中解脱出来,用计算机信息系统交流和处理日常事务,能够实现公文管理、领导日程安排、会议管理、公共信息传输、信息公告、个人工作计划、档案管理、电子邮件等功能,从而可以有效地提高工作效率。
整个办公自动化软件系统采用了Intranet设计原则,用TCP/IP协议。软件系统体系结构为B/S结构。整个系统对于网络用户来说是一个统一的整体,用户无须了解和安装各种网络应用软件子系统,就可以查询网络上的所有资源。返回搜狐,查看更多
局网建设基础知识 第7篇
配置命令所有路由器:area n nssa
Totally NSSA:拒绝类型3-4-5,引入类型7。
配置命令:只需要在NSSA的ABR上配置:area n nssa no-summary
路由条目(router entries)是到达ABR和ASBR路由器的路由。
可以通过:show ip ospf border-routers来查看。(注意观察到的路由条目的目的地要么是ABR、要么是ASBR)
当一台OSPF路由器检查一个数据包的目的地址时,其最优选路的步骤:
1.选择可以和目的地址最精确匹配的路由(拥有最长的地址掩码的路由)。
2.然后根据区域内、区域间、E1、E2的有限顺序进行选路。
3.默认条件思科路由器最多支持16条等价的路径上实现负载均衡。可以通过maximum-paths来改变。
按需电路上的OSPF
我们知道OSPF每隔10s发送一次Hello数据包,并且每隔30min刷新一次LSA。这些功能用来维护邻接关系,以确保链路状态数据库的精确。不过在按需链路上:LSA的可选字段发生了变化,没有周期性的Hello数据包交换,并且设置了DoNotAge位,因此在所有的LSA中增加了一个新的标识Demand Circuit位(DC-bit),使用命令:ip ospf flood-reduction命令。
OSPF认证
0:不认证
1:明文认证
2.:MD5认证
基于邻居认证都是在接口上进行的:ip ospf authentication-key ***** 然后在接口上启用:ip ospf authentication。
基于md5的:ip ospf message-digest-key 1 md5 ***** 应用:ip ospf authentication message-digest。
基于区域明文:ip ospf authentication-key ***** 进程下应用:area n authentication。
基于区域md5:ip ospf message-digest-key 1 md5 **** 应用:area n authentication message-digest。
虚链路明文认证:area 1 virtual-link **** authentication-key uestc 应用:area 1 virtual-link **** authentication。
虚链路md5认证:area 1 virtual-link **** message-digest-key 1 md5 uestc 应用:area 1 virtual-link **** authentication message-digest。
在OSPF认证中有一个加密序列号:这是一个不会减小的数字,用来防止重现攻击(replay attacks)。
重放攻击:是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。这样就不难理解为什么要有一个不断变化的序列号,并且加密序列号,让攻击者无法准确查找到序列号增长的规律。
OSPF和辅助地址
在OSPF环境中,辅助地址的用法:
1.只有在主网络或子网也运行OSPF协议的时候,OSPF才会通告一个辅助的网络或子网。
将把辅助地址看作是末梢网络(这些网络上没有OSPF邻居),从而不会再这些网络上发送Hello数据包。在辅助地址上也就无法建立邻接关系。
在TCP/IP路由技术卷一上,DNS服务器所配置的默认网关为一台配置了辅助地址的路由器上,而辅助地址与路由器与其他路由器无法建立邻居关系,所有造成DNS回包失败,我们的做法是:在这台路由器上配置一条指向OSPF主网络的默认路由。
辅助地址:也就是ip address *.*.*.* secondary
作用:在同一端口中可以设置两个以上的不同网段的IP地址,这样可以实现连接在同一局域网上的不同网段之间的通信。一般来说一个网段对于用户来说不够用,可以采取这种办法。同时必须在端口下开启ip redirect。因为Cisco路由器不允许从同一端口进来的IP包又送回到源端口,ip redirect表示允许在同一端进入路由器的IP包再从源端口出去。
注意配置了辅助地址的OSPF路由器,与另一台仅配辅助地址的路由器相连,此时这台路由器不能称为ASBR,因为其并没有接收外部路由,我们在这台路由器上运行其他协议,比如rip,然后再将rip重分布到OSPF中,这样就能够接收外部路由成为一台ASBR路由器了。
总结:在概念上理解,不能只背,_有什么用。
tunnel接口是一个虚拟接口,提供点对点的传输模式,因此每一个单独的线路都必须设置一个Tunnel口。
BGP分为三张表
邻居表:记录BGP对等体信息。
BGP表:记录到达目标网络的所有路径信息,以及到达目标的属性。
路由表:到达目标网络的最佳路由。