咱們有始有終,繼續分享和學習。這些知識點,都是從事網路行業工作必須要了解和清楚。
降龍十八掌之第九式——OSPF的11種LSA型別
一張圖可以清晰的看出,OSPF域內,域間,域外的各種型別LSA如何產生的,且不同的OSPF域存在哪些型別的LSA。OSPF的LSA型別作為一種鏈路狀態的路由協議,OSPF將鏈路狀態廣播資料LSA(Link State Advertisement)傳送給在某一區域內的所有路由器,這一點與距離向量路由協議不同。執行距離向量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。
OSPF透過路由器之間通告網路介面的狀態來建立鏈路狀態資料庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構造路由表。OSPF的LSA型別種類繁多,往往讓人頭暈。然而OSPF又是目前應用最廣泛的IGP協議,
我們不得不對它進行研究。OSPF的LSA型別一共有11種分別是:
LSA1
路由器LSA
(Router LSA)
每個路由器產生,域內傳播 路由表表項 O 標識
LSA2
網路LSA
(Network LSA)
DR產生,域內傳播 路由表表項 O 標識
LSA3 網路彙總LSA(Network summary LSA)
ABR產生,域間傳播,路由表表項 O IA標識
LSA4 ASBR彙總LSA(ASBR summary LSA)
ABR產生,描述到ASBR的路由位置為LSA5服務的,路由表表項 O IA標識
LSA5 自治系統外部LSA (Autonomous system external LSA)
ASBR產生,域外路由,通告到除Stub和nssa的所有區域,表項O E1或者O E2標識
LSA6 組成員LSA (Group membership LSA)
*目前不支援組播OSPF (MOSPF協議)
LSA7 NSSA外部LSA (NSSA External LSA)
由NSSA區域的ASBR產生,描述到AS外部的路由,僅在NSSA區域內傳播,
表項
O N1或者O N2標識
LSA8 BGP的外部屬性LSA(External attributes LSA for BGP)
暫不作探討
LSA9 不透明LSA(本地鏈路範圍) (opaque LSA)
*目前主要用於MPLS多協議標籤交換協議
LSA10 不透明LSA(本地區域範圍) (opaque LSA)
*目前主要用於MPLS多協議標籤交換協議
LSA11 不透明LSA(AS範圍) (opaque LSA)
*目前主要用於MPLS多協議標籤交換協議
OSPF 11種類型LSA
降龍十八掌之第十式——BGP的3張表,5種報文,7種狀態機,13條選路原則
BGP 13條選擇原則,記憶:權本始,短起MEML,ORCL。
權重,本地優先順序,始發,最短As path,Med,EBGP優於IBGP,到達更新源最小的Metric,Loadbalance負載,最老鄰居關係,最小的RID,最短的Cluster-list,最小的地址。
降龍十八掌之第十一式——BGP路由同步規則、BGP路由黑洞
從EBGP鄰居學習到的路由條目不會傳遞給其他的BGP鄰居(IBGP和EBGP),自己也不會使用,除非自己的IGP表和BGP表同步。
解決了IGP黑洞路由的問題,要想解決黑洞路由問題,解決方案採用IBGP全互聯、路由反射器、BGP聯邦解決方案,或者重分佈(操作比較危險,公網BGP路由表條目巨多,不採納)、MPLS。
降龍十八掌之第十二式——IPSec VPN
傳輸模式適用於PC與PC之間,而隧道模式適用於PC到PC,PC到閘道器,閘道器到閘道器。
IPSec VPN分為主模式和野蠻模式,主模式需要互動6個包,第1、2個數據包用於協商對等體之間管理連線使用何種安全策略(交換ISAKMP/IKE傳輸集)。第3、4個數據包透過DH演算法產生並交換加密演算法和HMAC功能所需的金鑰。第5、6個數據包使用預共享金鑰等方式執行對等體間的身份驗證,第1-4個包銘文傳輸,從第5個包起開始密文傳輸。
野蠻模式需要交換3個包。
IPSec VPN第一階段使用ISAKMP進行金鑰協商,使用的是UDP500埠。
階段一的三個主要任務:①協商採用何種方式建立管理連線;②透過DH演算法共享金鑰資訊;③對等體彼此進行身份驗證。
IPSec VPN的配置:
ISAKMP/IKE 階段一需要完成的任務:
定義對等體需要保護何種流量;定義用來保護資料的安全協議;定義傳輸模式;
定義資料連線的生存週期和金鑰重新整理方式。
ISAKMP/IKE階段一配置:
RT(config)#crypto isakmp policy 10
RT(config-isakmp)#encryption {des | 3des | aes}
RT(config-isakmp)#hash {sha | md5}
RT(config-isakmp)#authentication pre-share
RT(config-isakmp)#group {1 | 2 | 5}
RT(config-isakmp)#lifetime 86400
RT#show crypto isakmp policy
RT#crypto isakmp key {0 | 6} cisco address 1。1。1。1
RT#show crypto isakmp key
配置示例
ISAKMP/IKE階段二配置:
RT(config)#access-list 100 {deny | permit} ip 192。168。1。0 0。0。0。255 192。168。100。0 0。0。0。255 //定義ACL
RT(config)# crypto ipsec transform-set abc //配置階段2傳輸集
RT(config-crypto-transform)#mode {tunnel | transport} //預設為隧道模式
RT(config)#crypto map cisco
RT(config-crypto-map)#match address 100
RT(config-crypto-map)#set peer 1。1。1。1
RT(config-crypto-map)#set transform-set abc
RT(config-crypto-map)#set pfs {group1 | group2 | group5}
RT(config-crypto-map)#set security-association lifetime 86400
RT(config-crypto-map)#set security-association idletime 3600
檢視isakmp狀態
IPSec VPN的驗證:
show crypto isakmp policy 檢視IKE策略
show crypto isakmp sa 檢視管理連線SA的狀態
show crypto ipsec transform-set 檢視IPSec 傳輸集
show crypto ipsec sa 檢視資料連線SA的狀態
show crypto map 檢視Crypto Map
未完待續,請繼續關注,網路工程師之面試寶典——《路由交換-降龍十八掌內功心法》下集。
