本文講述了華為HCIA認(rèn)證OSPF、NAT原理與配置方法。分享給大家供大家參考，具體如下：

文章目錄

• OSPF初始化流程
  • 建立令居與鄰接關(guān)系
  • 鄰接路由器之間交換鏈路狀態(tài)信息，實(shí)現(xiàn)區(qū)域內(nèi)鏈路狀態(tài)數(shù)據(jù)庫同步
  • 每臺路由器根據(jù)本機(jī)鏈路狀態(tài)數(shù)據(jù)庫，計(jì)算到達(dá)每個(gè)目的網(wǎng)段的最優(yōu)路由，寫入路由表
• OSPF報(bào)文類型
• OSPF分區(qū)管理
  • 分區(qū)域的原因
  • 路由器角色
  • 區(qū)域類型
• 實(shí)驗(yàn)
• NAT
• 實(shí)驗(yàn)
  • NAT
  • NAT Server

OSPF初始化流程

建立令居與鄰接關(guān)系

• 發(fā)送hello報(bào)文發(fā)現(xiàn)和建立鄰居關(guān)系，組播地址224.0.0.5

  • 接口UP
  • 雙方接口IP地址在同一網(wǎng)段
  • 雙方接口在同一區(qū)域

• 選舉DR/BDR，建立鄰接關(guān)系

• DR/BDR選舉

  • 選舉原因：廣播網(wǎng)絡(luò)中使路由信息交換更加高速有序
  • 選舉范圍：沒條廣播鏈路上都需要選舉出一個(gè)DR和一個(gè)BDR
  • 選舉規(guī)則：
    • 優(yōu)先級大的優(yōu)先，默認(rèn)優(yōu)先級都是1
    • Router-id大的優(yōu)先

• Router-id：

  • 定義：Rid，表示路由器的身份

• Router-id產(chǎn)生方法：

  • 手動配置一個(gè)IPv4地址格式作為Rid
  • 自動選舉：
    • 在所有環(huán)回口中選舉IP地址最大的作為Rid
    • 在所有物理接口中選舉IP地址最大的作為Rid

• 建議手動配置一個(gè)本地環(huán)回口的IP地址作為Rid

• 關(guān)系狀態(tài)

  • DRoyher與DR建立鄰接關(guān)系
  • DRoyher與BDR建立鄰接關(guān)系
  • DR與BDR建立鄰接關(guān)系
  • 兩個(gè)DRoyher之間保持鄰接關(guān)系

鄰接路由器之間交換鏈路狀態(tài)信息，實(shí)現(xiàn)區(qū)域內(nèi)鏈路狀態(tài)數(shù)據(jù)庫同步

• 相關(guān)概念
• 鏈路狀態(tài)通告
  • LSA
  • 用來描述路由器的接口、路由條目的相關(guān)信息
• 鏈路狀態(tài)數(shù)據(jù)庫
  • LSDB
  • 存儲本地所有LSA
• 工作流程
  • 向鄰接路由器發(fā)送DD報(bào)文，通過本地LSDB中所有LSA的摘要信息
  • 收到DD后，與本地LSDB對比，向?qū)Ψ桨l(fā)送LSR報(bào)文，請求發(fā)送本機(jī)所需的LSA的完整信息
  • 收到LSR后，把對方所需的LSA的完整信息打包為一條LSU報(bào)文，發(fā)送至對方
  • 收到LSU后，向?qū)Ψ交貜?fù)LSAck報(bào)文，進(jìn)行確認(rèn)

每臺路由器根據(jù)本機(jī)鏈路狀態(tài)數(shù)據(jù)庫，計(jì)算到達(dá)每個(gè)目的網(wǎng)段的最優(yōu)路由，寫入路由表

OSPF報(bào)文類型

• Hello報(bào)文
• DD報(bào)文
  • 數(shù)據(jù)庫描述報(bào)文
  • 用于描述本地LSDB中所有LSA的摘要
• LSR報(bào)文：鏈路狀態(tài)請求
• LSU報(bào)文：鏈路狀態(tài)更新
• LSAck報(bào)文：鏈路狀態(tài)確認(rèn)

OSPF分區(qū)管理

分區(qū)域的原因

• 加快收斂速度
• 把網(wǎng)絡(luò)故障隔離在區(qū)域內(nèi)部

路由器角色

• IR
  • 內(nèi)部路由器
  • 所有接口都處于同一個(gè)區(qū)域
• ABR
  • 區(qū)域邊界路由器
  • 連接不同區(qū)域的路由器
• ASBR
  • 自治系統(tǒng)邊界路由器
  • 連接外部自治系統(tǒng)的路由器

區(qū)域類型

• 骨干區(qū)域
  • 只能有一個(gè)骨干區(qū)域
  • 骨干區(qū)域必須是連續(xù)的
• 非骨干區(qū)域
  • 非骨干區(qū)域必須連接到骨干區(qū)域
• 特殊區(qū)域

實(shí)驗(yàn)

• 如下拓?fù)洌?6）
  
  實(shí)驗(yàn)需求：

1. 按照圖示，配置IP地址
2. 按照圖示區(qū)域配置OSPF，實(shí)現(xiàn)全網(wǎng)互通
3. 為了路由結(jié)構(gòu)穩(wěn)定，要求路由器使用環(huán)回口作為Router-id，ABR的環(huán)回口宣告進(jìn)骨干區(qū)域

• 按照拓?fù)鋱D配置IP與環(huán)回接口

//在R1上配置接口IP并配置環(huán)回接口地址
[R1]int g0/0
[R1-GigabitEthernet0/0]ip add 100.1.1.1 24  //配置接口IP
[R1-GigabitEthernet0/0]qu
[R1]interface LoopBack 1  //創(chuàng)建環(huán)回口。簡寫int l0（不是10）
[R1-LoopBack0]ip add 1.1.1.1 32  //配置環(huán)回口地址
//同樣方法配置其他的路由器

• 創(chuàng)建OSPF

[R1]ospf router-id 1.1.1.1  //如果不加router-id則是自動選擇
[R1-ospf-1]display ospf  //查看router-id

• 進(jìn)入area 1，進(jìn)行宣告

[R1-ospf-1]area 1  //進(jìn)入area 1區(qū)域
[R1-ospf-1-area-0.0.0.1]network 100.1.1.0 0.0.0.255  //宣告100.1.1.0網(wǎng)段，跟上此網(wǎng)段的反掩碼
[R1-ospf-1-area-0.0.0.1]net 1.1.1.1 0.0.0.0  //宣告環(huán)回口
//同樣方法配置其他的路由器

• 反掩碼就是255.255.255.255減去原網(wǎng)段的掩碼，即反掩碼。學(xué)術(shù)名，掩碼通配符。
• 100.1.1.0 0.0.0.255的意思就是0所對應(yīng)的地址位必須匹配，即其他的地址前三位必須為100.1.1最后一位任意匹配

• ABR宣告

[R2]ospf router-id 2.2.2.2  //指定router-id
[R2-ospf-1]area 0  //進(jìn)入骨干（area 0）區(qū)域
[R2-ospf-1-area-0.0.0.0]net 100.2.2.0 0.0.0.255  //宣告100.2.2.0網(wǎng)段
[R2-ospf-1-area-0.0.0.0]net 2.2.2.2 0.0.0.0  //宣告環(huán)回口
[R2-ospf-1-area-0.0.0.0]area 1  //進(jìn)入area 1區(qū)域
[R2-ospf-1-area-0.0.0.1]net 100.1.1.0 0.0.0.255  //宣告100.1.1.0網(wǎng)段
//同樣方法配置其他的路由器

• 邊界路由器在兩個(gè)區(qū)域都要進(jìn)行宣告
• 對于環(huán)回口，可以隨便宣告在哪個(gè)區(qū)域，建議是宣告在骨干區(qū)域
• 環(huán)回口一般用于遠(yuǎn)程管理設(shè)備

• 檢查OSPF鄰接關(guān)系是否建立

[R2]dis ospf peer  //檢查邊界路由器是否有兩個(gè)鄰居

         OSPF Process 1 with Router ID 2.2.2.2
               Neighbor Brief Information

 Area: 0.0.0.0        
 Router ID       Address         Pri Dead-Time  State             Interface
 3.3.3.3         100.2.2.3       1   39         Full/BDR          GE0/1

 Area: 0.0.0.1        
 Router ID       Address         Pri Dead-Time  State             Interface
 1.1.1.1         100.1.1.1       1   39         Full/DR           GE0/0

• 除查看數(shù)量外，還要查看狀態(tài)，FULL為鄰接關(guān)系，2—Way表示鄰居關(guān)系
• 只有鄰接關(guān)系才能交換信息

• 檢查OSPF路由是否學(xué)習(xí)完整

[R5]dis ip routing-table 

Destinations : 20       Routes : 20

Destination/Mask   Proto   Pre Cost        NextHop         Interface
0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0
1.1.1.1/32         O_INTER 10  4           100.4.4.4       GE0/0
2.2.2.2/32         O_INTER 10  3           100.4.4.4       GE0/0
3.3.3.3/32         O_INTER 10  2           100.4.4.4       GE0/0
4.4.4.4/32         O_INTER 10  1           100.4.4.4       GE0/0

[R2]dis ip rou
4.4.4.4/32         O_INTRA 10  2           100.2.2.3       GE0/1
5.5.5.5/32         O_INTER 10  3           100.2.2.3       GE0/1

• 查看五個(gè)換回路由是否都學(xué)到
• O_INTERO表示OSPF，INTER表示其他區(qū)域的路由，INTRA表示區(qū)域內(nèi)的路由

• 進(jìn)行連通性測試

NAT

• 產(chǎn)生背景：
  • IPv4公網(wǎng)地址資源耗盡
  • IPv6普及遙遙無期
  • 子網(wǎng)劃分杯水車薪
• 定義：
  • 網(wǎng)絡(luò)地址轉(zhuǎn)換
  • 通過把私有地址轉(zhuǎn)換為公有地址，使私有IP地址主機(jī)可以訪問互聯(lián)網(wǎng)，來解決公網(wǎng)地址不夠用的問題
• 分類：
  • 靜態(tài)NAT
    • 把公有地址一對一的靜態(tài)映射給私有地址使用
  • 基本NAT（思科中叫動態(tài)NAT）
    • 建立公有地址池，把地址池中的公有地址動態(tài)的映射給私有地址使用
    • 本質(zhì)上仍然是一對一的映射
  • NAPT（思科中叫PAT）
    • 把公有地址和端口動態(tài)的映射給私有地址和端口，實(shí)現(xiàn)一個(gè)公有地址可以供多個(gè)私有地址同時(shí)使用訪問互聯(lián)網(wǎng)
    • 轉(zhuǎn)換源IP和源端口，數(shù)據(jù)回包還原目的IP和目的端口
  • Easy IP
    • NAPT的一種建議實(shí)現(xiàn)形式
    • 適用于公網(wǎng)地址不固定的場景
  • NAT Server
    • 把公網(wǎng)IP的某個(gè)端口固定映射到私網(wǎng)IP的某個(gè)端口，讓公網(wǎng)上的用戶可以主動訪問私網(wǎng)中的服務(wù)
    • 轉(zhuǎn)換目的IP和目的端口，數(shù)據(jù)回包還原IP和源端口
    • 也稱端口映射

0-1023知名協(xié)議端口號，發(fā)出的數(shù)據(jù)包在1024以上隨機(jī)產(chǎn)生端口號

實(shí)驗(yàn)

NAT

• 如下拓?fù)鋱D（07）
  
  實(shí)驗(yàn)需求：

1. 按照圖示配置IP地址，SERVER使用路由器模擬，配置默認(rèn)路由來實(shí)現(xiàn)網(wǎng)關(guān)的效果
2. 在R1上配置Easy IP，使PC和server可以訪問互聯(lián)網(wǎng)
3. 在R1上配置NAT Server，使R3可以訪問SERVER的FTP

[R1]int g0/1
[R1-GigabitEthernet0/1]ip add 192.168.1.254 24
[R1-GigabitEthernet0/1]int g0/0
[R1-GigabitEthernet0/0]ip add 100.1.1.1 24
[R2]int g0/0
[R2-GigabitEthernet0/0]ip add 100.1.1.2 24
[R2-GigabitEthernet0/0]int g0/1
[R2-GigabitEthernet0/1]ip add 100.2.2.2 24
[R3]int g0/0
[R3-GigabitEthernet0/0]ip add 200.2.2.3 24

• PC配置IP及網(wǎng)關(guān)
  

• 在R1和R3上分別配置靜態(tài)路由聯(lián)通內(nèi)網(wǎng)和公網(wǎng)

//配置默認(rèn)路由
[R1]ip route-static 0.0.0.0 0 100.1.1.2

//配置默認(rèn)路由，連通公網(wǎng)
[R3]ip route-static 0.0.0.0 0 200.2.2.2

• 在server上配置IP與網(wǎng)關(guān)

[SERVER]int g0/0
[SERVER-GigabitEthernet0/0]ip add 192.168.1.2 24  //配置IP
[SERVER]ip route-static 0.0.0.0 0 192.168.1.254  //配置默認(rèn)路由

• 在R1上配置NAT

[R1]acl basic 2000  //創(chuàng)建ACL
//設(shè)置允許進(jìn)行NAT轉(zhuǎn)換的網(wǎng)段
[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1]int g0/0
[R1-GigabitEthernet0/0]nat outbound 2000  //調(diào)用ACL

• 連通性測試，并查看轉(zhuǎn)換記錄

//在PC和server上pingR3，查看連通性
[R1]dis nat session verbose   //查看NAT轉(zhuǎn)換記錄

NAT Server

• 搭建FTP服務(wù)器

[SERVER]ftp server enable   //開啟FTP服務(wù)
[SERVER]local-user bad  //創(chuàng)建一個(gè)用于登錄FTP的用戶
[SERVER-luser-manage-bad]password simple 123  //設(shè)置一個(gè)簡單的密碼
[SERVER-luser-manage-bad]service-type ftp   //這個(gè)賬戶用于FTP
//授予最高權(quán)限
[SERVER-luser-manage-bad]authorization-attribute user-role level-15

• 配置端口映射

[R1]int g0/0  //進(jìn)入連接公網(wǎng)的接口
//將公網(wǎng)的100.1.1.1的20、21端口映射到私網(wǎng)192.168.1.2的20、21端口
[R1-GigabitEthernet0/0]nat server protocol tcp global 100.1.1.1 20 21 inside 192
.168.1.2 20 21

• 在R3驗(yàn)證遠(yuǎn)程登錄FTP

<R3>ftp 100.1.1.1  //在用戶視圖下遠(yuǎn)程登錄ftp
Press CTRL+C to abort.
Connected to 100.1.1.1 (100.1.1.1).
220 FTP service ready.
User (100.1.1.1:(none)): bad
331 Password required for bad.
Password: 
230 User logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> 

最新評論