OSPF工作过程与基础配置

一、OSPF的工作过程

OSPF（开放最短路径优先）是一个广泛使用的路由协议，它的工作过程可以总结为以下几个步骤：

1. 启动与邻居发现
   OSPF在配置完成后，会通过本地组播地址224.0.0.5发送HELLO包。HELLO包中携带本地路由器的RID（Router ID）以及已知邻居的RID。当接收到对端的HELLO包中存在本端的RID时，即可认为邻居关系建立，并生成邻居表。

2. 邻居关系建立
   邻居关系建立后，OSPF会检查条件是否匹配。若匹配失败，则邻居关系保持不变，仅通过HELLO包进行保活。若匹配成功，则建立邻接关系。

3. 主从选举
   OSPF使用不携带数据库目录的DB（Database Description，DD）包进行主从选举。RID较大的路由器优先成为主路由器，并共享数据库目录。

4. LSA信息同步
   基于本地的LSDB（Link State Database），通过LSR（Link State Request）包请求LSU（Link State Update）包并通过LSACK（Link State Acknowledgment）包确认，从而完成LSDB的同步。

5. SPF算法计算
   同步完成后，OSPF启用SPF（Shortest Path First）算法，基于LSDB生成有向图，计算出最短路径树，最终生成本地路由表。

6. 收敛与更新
   收敛完成后，OSPF每30分钟周期更新邻接关系。每30分钟，邻接关系之间会进行DD包的对比，若一致则继续保活，若不一致则重新收敛。

二、OSPF基础配置示例

以下是OSPF的基本配置命令示例：

ospf 1 router-id 1.1.1.1     创建OSPF进程，进程号为1，RID为1.1.1.1

area 0                 进入区域0

network 1.1.1.1 0.0.0.0      指定网络

network 12.1.1.0 0.0.0.255    指定反掩码

可以通过以下命令查看邻居和数据库表：

display ospf peer brief     查看邻居表

display ospf lsdb         查看LSDB

三、OSPF扩展配置

1. 邻接关系的建立条件

   • 点到点网络：网络中仅支持两个节点直接建立邻接关系。
   • 多路访问（MA）网络：支持多个节点，但需要进行DR（Designated Router）和BDR（Backup Designated Router）选举。

   选举规则包括接口优先级和RID的比较。DR/BDR选举为非抢占式，需要重启所有参与选举的OSPF进程。

2. 手工认证与汇总

   • 手工认证配置示例：

     ospf authentication-mode md5 1 cipher 666666   配置MD5认证

   • 区域汇总配置示例：

     abr-summary 1.1.0.0 255.255.252.0          区域汇总

3. 缺省路由与被动接口

   • 强制下发缺省路由：

     default-route-advertise always     强制下发缺省路由

   • 配置被动接口示例：

     silent-interface g 0/0/1         设置接口为被动

VLAN与NAT基础知识

一、VLAN的概念与配置

VLAN（虚拟局域网）是一种通过逻辑分隔物理网络的技术，它能够将一个大的广播域划分为多个小的逻辑广播域，显著减少广播流量，提高网络性能与安全性。VLAN允许网络管理员在相同的物理基础设施上建立不同的虚拟网络，方便管理和分隔不同业务的流量。

VLAN ID（VID）：用于识别不同的VLAN，由12位二进制组成，范围为0-4095。在实际应用中，通常使用1-4095的范围，其中0和4095有特殊意义（0表示保留，4095表示全局的广播）。

配置VLAN的基本命令如下：

vlan batch 2 to 6    批量创建VLAN

配置端口划分到VLAN的示例：

port link-type access  定义为访问链路

port default vlan 2   将接口划入VLAN 2

VLAN的应用场景：

• 网络隔离：不同部门或业务单位可使用不同的VLAN，减少干扰与安全风险。
• 广播控制：减少广播流量，提高网络性能。
• 灵活性：可根据需要快速调整VLAN配置，适应网络变化。

二、NAT的基本概念

NAT（网络地址转换）是用于将私有网络IP地址转换为公有IP地址（或反向转换）的一种技术，常用于连接互联网的内部网络。NAT有助于保护网络内部结构的隐私，同时也延长了IPv4地址的使用寿命。

NAT类型：

• 静态NAT：一一对应的地址映射，内部IP与外部IP一一对应，适用于需要外部可直接访问的内部服务器。
• 动态NAT：不论外部地址如何变化，内部私有IP地址会动态映射到外部的可用IP地址池，适合需要动态访问的场景。
• NAPT（端口地址转换）：允许多个私网IP共享同一个公网IP，使用端口号区分各个会话，是最常见形式的NAT，广泛用于家庭路由器和小型企业网络中。

静态NAT的配置示例：

nat static global 12.1.1.1 inside 192.168.1.2  静态NAT映射

动态NAT的配置示例：

nat outbound 2000                     配置动态NAT

三、ACL（访问控制列表）概述

ACL是用于在路由器或交换机上控制流量的一种机制，可用于允许或拒绝特定类型的流量。ACL可根据源IP地址、目的IP地址、传输层协议（TCP/UDP）和端口号等条件进行配置。

ACL类型：

• 标准ACL：仅依据源IP进行流量控制，常用于过滤访问。
• 扩展ACL：依据更多条件（如目的IP、协议类型和端口号）进行更细致的控制。

配置示例：

acl 2000            创建标准ACL

rule permit source any   允许所有流量

扩展ACL的配置示例：

rule deny tcp source 192.168.4.1 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23         拒绝特定TCP流量

ACL的应用场景：

• 提高网络安全性，通过过滤不必要或恶意的流量。
• 实现流量监控与审计，收集与分析网络使用情况。