路由协议的分类

IGP

AS内部路由协议,注重于路由的发现与计算,收敛快,一般存在触发更新与周期性更新。

代表:RIP、ospf、isis
RIP 更新时间 30s
ospf 更新时间 1800s---30分钟
isis 更新时间 900s---15分钟

EGP

AS之间路由协议,工作在AS与AS之间,注重于路由的传递与选择,收敛较慢。只存在触发更新。

代表:BGP

路由表优选规则

(1)最长掩码匹配规则;
(2)比较路由的协议优先级,范围为0-255,数值越小越优先;

直连: pre 0 cost 0 固定为0,无法修改
静态: pre 60
RIP : pre 100
ospf 内部: 10 O-ASE: 150
isis : pre 15
BGP : pre 255

(3)比较度量值(cost)
数值越小越优先;

如果(1)(2)(3)数值完全相等,属于等价路径;

负载均衡

等价路径是构成负载均衡流量模型的基础。

企业网络大部分采用负载均衡的流量模型:
优势:
成本低;
带宽高、速率快;
冗余性,切换链路速度快;

缺陷:
等价路径最大数量为8条;
会增加配置难度;
会增加拓扑的复杂性;
一旦发生故障,排障难度增大。

路由说明

如果next-hop或者出接口消失,路由条目也会消失;

出接口一定为直连接口;

当接口为NULL 0,路由会被设置为直连路由,当数据包匹配到路由条目时,设备会将数据包丢弃。

next-hop:下一跳,下一跳必须为直连的IP地址,如果不是,会再次执行查表操作,直到下一跳为直连IP为止;(BGP协议中常见)

作用:作为ARP缓存表的目的IP地址。

静态路由

应用场景:
作为小型网络的协议,实现网络的互通;
作为出口网关,通过设置默认路由进行实现;
作为“网络补丁”解决网络故障;

由网络管理手工进行配置,稳定,无法感知网络拓扑的变化;

静态路由如果出接口或者下一跳字段消失,静态路由会处于失效的状态;

特殊场景:
当接口处于E口、GE口、POS口,网络的类型会被设置为广播型网络,静态路由进行配置时只能指定下一跳;
当接口处于S口,网络的类型会被设置为点到点网络,静态路由的配置可以为出接口也可以为下一跳。

ospf(开放式最短路径优先)协议

属于IGP协议,链路状态路由协议;

根据工作原理进行分类:
链路状态路由协议:每一台路由器建立邻居关系之后泛洪本身的LSA信息(链路状态信息),通过收集全网的链路状态信息,构建拓扑图之后选择最优路径;

优势:无环的路由协议;
代表:ospf、isis

距离矢量路由协议:每一台路由器直接将路由信息与距离、方向等信息直接发送给路由器,路由器根据收到的信息进行选路,选出路径。

“基于谣言的路由协议”

优势:开销小
代表:RIP、BGP

三层环路

产生的原因:一般是网络管理员配置失误或者路由协议的防环机制不完善所导致;

危害:IP数据包会循环255跳,数据包无法正常到达目的网络,但是不会给设备造成太大的开销;

防止措施:启用防环机制完善的路由协议;
加强管理;

工作原理

先建立邻居关系---泛洪LSA信息---同步LSDB(数据库)---选择最优LSA---计算出最优路径

邻居关系

可以建立报文的传输通道;
可以加速ospf的收敛;

概念:
属于“多区域”的设计架构,分为骨干区域、普通区域、特殊区域,普通区域与特殊区域都必须围绕着骨干区域而建立。

骨干区域, area id固定为0;
普通区域,area id为非0;

普通区域与特殊区域都必须围绕着骨干区域而建立,原因:普通区域之间的通信都需要经过骨干区域,目的是为了防止环路。

角色

骨干区域内路由器:ER
普通区域内路由器:IR
区域边界路由器:ABR
域边界路由器:ASBR

对ASBR与ABR的性能要求较高,ABR需要维护多个区域的拓扑,非骨干区域之间的互访都需要经过ABR。

ospf报文

基于IP协议进行承载;

hello报文:用于发现、建立、维护ospf的邻居关系;
发现:使用特定的组播IP地址224.0.0.5去发现邻居;
(ospf的DR/BDR字段中使用组播IP地址224.0.0.6)

维护:默认情况下,ospf会周期性每10s发送hello报文,在老化时间(hello时间的4倍)未收到hello报文,邻居关系断开;

建立: 通过对比hello报文中的参数决定双方是否可以建立邻居关系;

影响邻居关系建立的因素

(1)version,要求一致;
(2)router id,标识ID,作用:用于在拓扑描述中描述设备的位置;
router id只用于标记使用,不用于通信。

router id,需要保证不一致;

(3)area id,要求一致;
(4)认证要求通过,双方设备的密码与类型保证一致;
(5)掩码要求一致;(广播型网络中要求掩码保持一致,在点到点网络中不要求掩码保持一致)
(6)hello时间要求一致,无协商机制;
(7)要求option位中的NP与E位保持一致;

邻居关系建立成功的标识:
设备收到hello报文中包含本身的router id;

DD报文:用来携带LSA的摘要信息,用于对比数据库;

先对比再发送LSA消息,目的是为了减少LSA信息的泛洪,减少设备开销;

LSR报文:用于请求特定的LSA信息;
LSU报文:用于携带详细的LSA信息;
LS ACK报文:用于确认LSU报文。

邻居关系:双方通过hello报文,已经建立数据通道;
邻接关系:双方的lsdb已经同步完成。
 

每日一问

问题描述

S5700交换机配置tacacs认证SSH带域名登陆成功,不带域名登陆失败。

处理过程

1、带域名可以登陆成功,不带域名登陆失败,查看配置是否修改全局默认管理域。
domain xxx admin //已经修改全局默认域
2、检查配置信息,配置的是设备向HWTACACS服务器发送的报文中用户名包含域名。
交换机版本是V200R008C00SPC500
hwtacacs-server user-name domain-included //设备向HWTACACS服务器发送的报文中用户名包含域名
3、检查tacacs服务器配置,创建的用户名是包含域名的,怀疑设备配置也是发送域名去认证命令没有生效,后面经过确认hwtacacs-server user-name domain-included命令仅限登陆的 时候@域名的场景,如果用户不带域名登陆,即使配置了此命令,设备也不会向tacacs服务器发送带域名去认证;

根因

用户不带域名登陆,不管设备有没有配置hwtacacs-server user-name domain-included,设备发送到tacacs服务器认证的用户名都是不带域名的
解决方案
客户端登陆的时候使用带域名的用户名登陆或者服务器添加不带域名的账号