工作之餘,總結的H3CSE路由部分的知識點,共享
出來,希望能對初學H3CSE的朋友有幫助。
第一部分 OSPF
一、OSPF基本概況,記住4點。
1.由IETF制定。
2.L-S類型。
3.是一種IGP。
4.目前使用version2(version3針對ipv6)
二、OSPF8個特點。
1.適用各種網絡規模,最多支持幾百臺路由。
2.收斂快(原因採用了觸發更新機制)。
3.無環(原因採用了SPF算法,報文攜帶routerID).
4.引入區域機制(L-S路由算法共性,提高OSPF工作效率)。
5.等價路由(好處是實現負載均衡)。
6.路由分級(共四級,具有不同優先級,intra和inter是優先級10和extra1和extra2優先級150)。
7.支持驗證(增強了路由協議本身的安全性)。
8.協議報文用組播發送。
三、OSPF6個重要概念。
1.自治系統:用AS表示,是一組使用相同路由協議交換路由信息的路由器集合。
2.OSPF的路由計算過程:step①交互LSA每臺路由器生成LSDB(LSA---LSDB)step②將LSDB轉換成帶權有向圖step(LSDB---帶權有向圖)③根據SPF算法計算出路由。(SPF計算---路由表)(注意:此過程中每臺路由器的LSDB是相同的,每臺路由器計算出的路由是不同的。)
3.routerID:①作用是在AS中唯一標識一臺路由器②本身是一個32bits無符號整數。
4.OSPF5種協議報文:
①hello報文(用來建立鄰居關系,選舉DR/BDR)
②DD報文(將自己LSDB描述給鄰居)
③LSR報文(向鄰居請求自己需要的LS)
④LSU報文(向鄰居發送對方需要的LS)
⑤LSAck報文(對收到的LS進行確認)
五、OSPF的9中LSA類型
1.type1:每個路由器產生,在本area內傳播
2.type2:DR產生,在本area內傳播
3.type3:ABR產生,通告給其他的area
4.type4:ABR產生,通告給相關area(到ASBR的路由)
5.type5:ASBR產生,通告給除了STUB area(到AS外部的路由)
6.type7:NSSA的ASBR產生,僅在NSSA area傳播(到AS外部的路由)
六、鄰居和鄰接
1.在OSPF中路由器與路由器之間有兩種關係分別是鄰居和鄰接。
2.收到hello報文的路由器檢查報文中的參數,如果雙方一致就形成鄰居關係。
3.當雙方成功交換DD報文,交換LSA達到LSDB同步後,建立鄰接關係。
七、OSPF的area概念
1.area產生原因:①路由器數量多導致每臺LSDB變大,使路由器需要很到內存和很強CPU運算能力②大規模網絡中網絡容易震盪且收斂很慢。
2.引入area後OSPF網絡中的路由器有4種:①area內路由器②區域邊界路由器ABR③骨幹路由器④自治系統邊界路由器ASBR。
3.area劃分原則:常規area和骨幹area物理直連,否則用vlink解決。
4.vlink的另一作用:提供冗餘鏈路(物理直連down,邏輯連接可使用)
5.STUB area:該area不允許注入type5LSA,故路由表大大減小。
6.NSSA area:是STUB area的改進。
7.OSPF網絡中路由的類型:intra---inter---type1 external---type2 external
八、OSPF支持的網絡類型
1.broadcast:用組播224.0.0.5 224.0.0.6發送協議報文,選舉DR/BDR。
2.NBMA:用單播發送協議報文,選舉DR/BDR,手工指定鄰居
3.P2P:組播224.0.0.5發送協議報文
4.P2MP:組播224.0.0.6發送協議報文
九、OSPF中DR/BDR的概念
1.DRother只與DR/BDR建立鄰接關係
2.broadcast和NBMA類型接口才會選舉DR/BDR。
3.路由器優先級大於0纔可被選舉爲DR/BDR,優先級相同時,routerID大的選爲DR/BDR.
4.DR是針對網段而言的,故以接口來區分。
第二部分 BGP
一、BGP概述:
1.是唯一的EGP
2.現在使用的是version4
3.廣泛應用於ISP或大型企業網。
二、BGP的8個特點
1.BGP的作用控制路由傳播和選擇最佳路由(IGP是發現和計算路由)
2.BGP的協議報文用TCP封裝,端口號是179
3.支持CIDR
4.增量更新路由
5.無環路(通告路由時攜帶ASN)
6.具有豐富路由策略
7.易於擴展
三、BGP的3個小概念
1.BGP Speaker
2.peer
3.group
4.IBGP和EBGP
四、BGP的協議報文總結
1.BGP有5中協議報文,它們有相同報文頭。
2.open報文:TCP連接建立後發送的第一個報文,用於建立BGP peer間的鄰居關係
3.update報文:用於在peer間交換路由信息。
4.notification報文:BGP檢測到錯誤狀態時,向peer發送該報文,之後BGP連接中斷
5.keepalive報文:週期性向peer發送,保持連接有效性(該報文只有報文頭)
6.route-refresh報文:用來要求peer重新發送指定地址的路由信息。
五、BGP路由屬性總結(這是BGP最具特色的地方,也是最重要的地方)
1.路由屬性是一組參數,對特定路由進行描述,讓BGP對路由過濾和選擇
2.BGP的路由屬性分爲4類:①必遵②可選③過渡④非過渡
3.最常用的幾個BGP路由屬性列舉:
①origin屬性:該屬性定義了路由信息的來源,共3個屬性值IGP>BGP>INCOMPLETE
②as-path屬性:該屬性按次序記錄了某條路由從本地到目的地址所經過的所有AS編號,BGP將一條路由通告到其它AS時,便把本地ASN加在as-path列表的最前面。(通常BGP不會接受as-path列表中包含本地ASN的路由,從而避免了環路)
③next-hop屬性:BGP把產生的路由發送給所有鄰居時,將路由信息的下一跳屬性設置爲自己與對端連接的接口地址;BGP把接收到的路由發送給EBGP鄰居時,將該路由信息的下一跳屬性設置爲本地與對端連接的接口地址;BGP把從EBGP鄰居得到的路由發送給IBGP鄰居時,不改變下一跳屬性,如果配置了負載分擔,路由被髮給IBGP鄰居時則會修改。
④MED屬性:BGP路由器通過不同EBGP鄰居得到相同目的地的路由時,其它條件相同時,有限選擇MED值小的作爲最佳路由。
⑤local-pref屬性:該屬性僅在IBGP鄰居間交換,不通告給其他AS;當BGP路由器通過不同IBGP鄰居得到相同目的地但下一跳不同的多條路由時,優先選擇local-pref值較高的路由。
⑥community屬性:該屬性簡化路由策略的應用和降低維護管理的難度。
六、BGP的選路策略,共3中情況
情況1:接收路由的策略(首先丟棄下一跳(NEXT_HOP)不可達的路由;優選Preferred-value值最大的路由;優選本地優先級(LOCAL_PREF)最高的路由;優選聚合路由;優選AS路徑(AS_PATH)最短的路由;依次選擇ORIGIN類型爲IGP、EGP、Incomplete的路由;優選MED值最低的路由;依次選擇從EBGP、聯盟、IBGP學來的路由;優選下一跳Cost值最低的路由;優選CLUSTER_LIST長度最短的路由;優選ORIGINATOR_ID最小的路由;優選Router ID最小的路由器發佈的路由;優選地址最小的對等體發佈的路由。)
情況2:發佈路由的策略( 存在多條有效路由時,BGP發言者只將最優路由發佈給對等體;BGP發言者只把自己使用的路由發佈給對等體;BGP發言者從EBGP獲得的路由會向它所有BGP對等體發佈(包括EBGP對等體和IBGP對等體);BGP發言者從IBGP獲得的路由不向它的IBGP對等體發佈;BGP發言者從IBGP獲得的路由發佈給它的EBGP對等體(關閉BGP與IGP同步的情況下,IBGP路由被直接發佈;開啓BGP與IGP同步的情況下,該IBGP路由只有在IGP也發佈了這條路由時纔會被同步併發布給EBGP對等體);連接一旦建立,BGP發言者將把自己所有的BGP路由發佈給新對等體。)
情況3:應用了負載分擔後時的選路
七、BGP和IGP的同步問題
1.IBGP路由加入路由表前併發布給EBGP鄰居前,會先檢查IGP路由表,只有IGP葉有改目的路由是,認爲是同步的,纔會發佈路由給EBGP鄰居。否則是不同步,不加入不發佈。
八、大規模BGP網絡面臨的問題
1.路由聚合:支持自動聚合和手動聚合,手動聚合可以控制聚合路由屬性,以及決定是否發佈具體路由。
2.路由衰減
3.路由反射器
4.聯盟
第三部分 路由策略
一、路由策略概述,共3點
1.作用:爲了改變流量的路徑而修改路由信息
2.應用場合:①路由發佈時②路由接收時③路由引入時
3.實現方法:step①定義匹配規則 step②將匹配規則應用到需要的場合
二、路由策略實現用到的過濾器(1.2.6是通用的,3.4.5是BGP專用的)
1.ACL
2.地址前綴
3.as-path訪問列表
4.團體屬性列表
5.擴展團體屬性列表
6.route-policy
第四部分 AAA和radius
一、AAA知識點,4點
1.AAA=authentication、authorization、accounting(認證、授權、計費):①認證是確認遠端訪問用戶的身份是否合法②授權是對不同用戶賦予不同權限,限制用戶可以使用的服務③計費是記錄用戶使用網絡服務中的所有操作,包括使用的服務類型、起始時間、數據流量等,不僅是計費手段,也對網絡安全起監視作用。
2.AAA是C/S架構,一般radius或hwtacacs規定NAS與server如何傳遞用戶信息。
3.3個A可以搭配使用。
二、radius概述
1.radius=remote authentication dial-in user service(遠程認證撥號用戶服務)
2.radius是分佈式、C/S架構的信息交互協議
3.radius基於UDP,1812爲認證端口、1813爲計費端口
4.radius最早用於撥號接入,後來用於以太網接入、ADSL接入
三、radius服務器通常維護3個數據庫
1.users:用戶名、口令、協議、ip地址
2.clients:共享密鑰、ip地址
3.dictionary:屬性和屬性值
四、radius客戶端和服務器端交互機制,共3點
1.radius客戶端和服務器之間認證消息的交互通過共享密鑰保證安全,網絡不傳輸共享密鑰。用戶密碼在網絡上加密傳輸。
2.radius服務器支持多種方法認證用戶(如基於PPP的PAP\CHAP)
3.radius服務器可以爲其它類型認證服務器提供代理
五、radius消息交互流程,共9步
Step①用戶發起連接請求,向RADIUS客戶端發送用戶名和密碼。
Step②RADIUS客戶端根據獲取的用戶名和密碼,向RADIUS服務器發送認證請求包(Access-Request),其中的密碼在共享密鑰的參與下由MD5算法進行加密處理。
Step③RADIUS服務器對用戶名和密碼進行認證。如果認證成功,RADIUS服務器向RADIUS客戶端發送認證接受包(Access-Accept);如果認證失敗,則返回認證拒絕包(Access-Reject)。由於RADIUS協議合併了認證和授權的過程,因此認證接受包中也包含了用戶的授權信息。
Step④RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request)。
Step⑤RADIUS服務器返回計費開始響應包(Accounting-Response),並開始計費。
Step⑥用戶開始訪問網絡資源。
Step⑦用戶請求斷開連接,RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request)。
Step⑧RADIUS服務器返回計費結束響應包(Accounting-Response),並停止計費。
Step⑨用戶結束訪問網絡資源。