ospf nssa配置 ospf nssa区域特点

OSPF
OSPF区域类型：
区域类型：
骨干区域
非骨干区域
特殊区域：
不允许接收4类LSA和5类LSA的区域，称为特殊区域.
特殊区域的应用场景
希望保护一个OSPF区域，不受“外部链路”的影响时，就可以将该区域配置为“特殊区域”.

特殊区域类型：
Stub Area 末梢区域
Totally Stub Area 完全末梢区域
NSSA（Not So Stub Area）
Totally NSSA 完全NSSA

Stub区域的特点：
不允许接收4类LSA和5类LSA
允许接收1类、2类、3类LSA
stub区域的ABR会自动产生一个表示默认路由的3类LSA
该区域不受“外部链路”不稳定造成的不良影响

Totally Stub区域的特点：
不允许接收3类、4类LSA和5类LSA
允许接收1类、2类LSA
stub区域的ABR会自动产生一个表示默认路由的3类LSA
该区域不受“外部链路”和“其他区域的链路”不稳定造成的不良影响

NSSA区域的特点：
不允许接收4类LSA和5类LSA，单允许接收“外部路由”
允许接收1类、2类、3类、7类LSA
NSSA区域中，表示外部路由，是通过7类LSA
7类LSA只能在特殊区域内传输
NSSA区域的ABR会自动的产生表示默认路由的7类LSA
NSSA区域的ABR会自动的将7类LSA转换成5类LSA

NSSA区域应用场景：
不同公司直接的网络在进行合并时，所用的临时解决方案

Totally NSSA区域的特点：
不受其他区域的区域间路由、外部路由的影响，同时本区域还能引入外部路由
不允许接收3类、4类、5类LSA
允许接收1类、2类、7类LSA
NSSA区域的ABR会自动的产生表示默认路由的7类LSA和3类LSA
NSSA区域的ABR会自动的将7类LSA转换成5类LSA

 

堆叠和vrrp
在企业网的使用场景中，经常会遇到将大量服务器用交换机互联起来的情况。这种场景下，一般采用的是VRRP或者堆叠的方式，那这两种方式有什么区别呢？下面先简单介绍下这两种技术：
VRRP：虚拟路由冗余协议（Virtual Router Redundancy Protocol）通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。如图1所示，HostA通过Switch双归属到SwitchA和SwitchB。在SwitchA和SwitchB上配置VRRPik,备份组，对外体现为一台虚拟路由器，实现链路冗余备份。

堆叠（或称为集群）：集群交换机系统Cluster Switch System（简称为CSS或集群），是将2台交换机通过专用的集群电缆链接起来，对外呈现为一台逻辑交换机。通过交换机集群，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。具体特性如下：
1、高可靠性：集群系统两台成员交换机之间冗余备份，同时利用链路聚合功能实现跨设备的链路冗余备份。
2、强大的网络扩展能力：通过组建集群增加交换机，从而轻松的扩展端口数、带宽和处理能力。
3、简化配置和管理：集群建立后，两台物理设备虚拟成为一台设备，用户只需登录一台成员交换机即可对集群系统所有成员交换机进行统一配置和管理。

IDS和IPS

IDS （入侵检测系统）
IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，实时监视系统会发现情况并发出警告。

IPS （入侵防御系统）
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
侵入保护（阻止）系统（IPS）是新一代的侵入检测系统（IDS），可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
IPS系统分为基于主机和网络两种类型保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为（如SQL注入攻击、缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件），这才是IPS发展的主线功能。
常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。

路由器常用维护命令

dir [ /all ] [ filename ]
路由器存储设备中的指定文件或目录的信息。

display alarm { slot-id | all | active |history | information name alarm-name }
查看告警信息。

display bgp [ vpnv4 vpn-instance vpn-instance-name ] peer [ { group-name | ipv4-address } log-info ] | [[ ipv4-address ] verbose ]
display bgp vpnv4 all peer [[ ipv4-address ] verbose ]
查看BGP对等体信息。

display clock [ utc ]
查看系统当前日期和时钟。

display cpu-usage [ configuration ] [ slave | slot slot-id [ vcpu vcpu-number ]]
display cpu-usage [ task-name ] [ slave | slot slot-id ]
查看CPU占用率的统计信息和配置信息。

display current-configuration [ configuration [ configuration-type [ configuration-instance ] ] | controller | interface interface-type [ interface-number ] ]
查看路由器当前生效的配置参数。

display fan
查看风扇状态。

display fib [ slot-id ] statistics
查看FIB表项的总数目。

display device [ pic-status | slot-id ]
查看路由器的基本信息。

display [ ipv6 ] ftp-server
查看当前FTP服务器的各项参数。

display interface [ interface-type [ interface-number ]]
查看接口当前运行状态和接口统计信息。

display ip interface [ interface-type interface-number ]
查看接口与IP相关的配置和统计信息，包括接口接收和发送的报文数、字节数和组播报文数，以及接口接收、发送、转发和丢弃的广播报文数。

display ip interface brief [ slot slot-number [ card card-number ] | [ interface-type [ interface-number ] ]
查看接口与IP相关的简要信息，包括IP地址、物理链路和协议的状态及接口的描述。

display ip routing-table
查看IPv4路由表的概要信息。

display isis peer [ verbose ] [ process-id | vpn-instance vpn-instanc-name ]
查看IS-IS的邻居信息。

display local-user
查看本地用户的属性。

display logbuffer [ size value | slot slot-id | module module-name |level { severity | emergencies | alerts | critical | errors | warnings | notifications | informational | debugging } ]*
display logbuffer summary [ level severity | slot slot-id ]*
查看日志缓冲区记录的信息。

display memory-usage [ slave | slot slot-id | threshold [ slot slot-id ] ]
查看路由器的内存占用率信息。

display ospf [ process-id ] brief
查看OSPF的概要信息。

display ospf [ process-id ] peer [ [ interface-type interface-number ] neighbor-id | brief | last-nbr-down ]
查看OSPF中各区域邻居的信息。

display patch-information
查看补丁状态及信息。

display power
查看电源状态。

display saved-configuration [ last | time | configuration ]
查看路由器下次上电启动时所用的配置文件。

display startup
查看与本次及下次启动相关的系统软件、配置文件名。

display switchover state
查看主用板/备用板的备份状态。

display temperature slot slot-id
查看槽位温度传感器的状态。

display trapbuffer [ size value ]
查看告警缓冲区记录的信息。

display voltage slot slot-id
查看指定槽位的电压传感器状态。

display version
查询系统软件版本。

ping [ ip ] [ -a source-ip-address | -c count | -d | -f | -h ttl-value | -i interface-type interface-number } | -m time | -n | -p pattern | -q | -r | -s packetsize | -t timeout | -tos tos-value | -v | -vpn-instance vpn-instance-name ] * host
检查IP网络连接及主机是否可达。

tracert [ -a source-ip-address | -f first-TTL | -m max-TTL | -p port | -q nqueries | -vpn-instance vpn-instance-name | -w timeout ] * host
用来测试数据包从发送主机到目的地所经过的网关，主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。