Linux云计算 |【第二阶段】NETWORK-DAY3

主要内容：

动态路由OSPF、传输层概述（TCP、UDP）、ACL规则

一、动态路由概述

1、OSPF开放最短路径优先（Open Shortest Path First）

OSPF协议是一种为IP网络开发的内部网关路由选择协议，由IETF开发并推荐使用。OSPF协议由三个子协议组成：Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定路由器及备份指定路由器；交换协议完成"主"、"从"路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护；

场景用途：适用于大型企业网络和ISP网络，特别是需要高效、可靠和安全路由的场景。

采用算法：Dijkstra算法（最短路径优先算法）

优点:

1. 高效性: 支持大型网络，收敛速度快。
2. 灵活性: 支持多种网络类型和多种路由度量（如带宽、延迟等）。
3. 可扩展性: 支持层次化设计，便于网络管理和扩展。
4. 安全性: 支持认证，防止未经授权的访问。

缺点:

1. 复杂性: 配置和管理相对复杂。
2. 资源消耗: 需要较多的CPU和内存资源。

2、RIP路由信息协议（Routing Information Protocol）

RIP协议是在一个AS系统中使用地内部路由选择协议，是个非常简单的基于距离向量路由选择的协议。RIP版本：RIPv1和RIPv2，它们均基于经典的距离向量路由算法，最大跳数为15跳。

**① RIP版本1：**RIPv1是族类路由（Classful Routing）协议，因路由上不包括掩码信息，所以网络上的所有设备必须使用相同的子网掩码，不支持VLSM可变长子网掩码。需消耗广域网带宽，消耗CPU、内存资源。

**② RIP版本2：**RIPv2可发送子网掩码信息，是非族类路由（Classless Routing）协议，支持VLSM。

场景用途：不同厂商的路由器可以通过RIP互联，配置简单，适用于小型网络（小于15跳），但在路径较多时收敛速度慢，广播路由信息时占用的带宽资源较多，它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中，在大型网络中一般不使用RIP，特别是那些不需要复杂路由策略的场景。

采用算法：距离向量路由选择算法（Bellman-Ford算法）

优点：

1. 简单性: 配置和维护简单，易于实现。
2. 广泛支持: 几乎所有的路由器都支持RIP。

缺点：

1. 有限性: 最大跳数限制为15跳，不适用于大型网络。
2. 慢收敛: 收敛速度慢，容易产生路由环路。
3. 不支持VLSM: 不支持可变长子网掩码。

补充：RIPv1不支持VLSM、需消耗广域网带宽、需消耗CPU、内存资源。

3、BGP 边界网关协议（Border Gateway Protocol）

BGP协议是自治系统之间的路由选择协议，BGP用于连接Internet。BGP是一种外部路由协议，与OSPF、RIP不同，其着眼点不在于发现和计算路由，而在于控制路由的传播和选择最好的路由。

场景用途：主要用于ISP之间的路由交换，特别是互联网主干网络之间的路由。

采用算法：路径矢量算法

优点:

1. 可扩展性: 支持全球互联网规模的网络。
2. 灵活性: 支持复杂的路由策略和路由过滤。
3. 稳定性: 提供稳定的路由环境，减少路由振荡。

缺点:

1. 复杂性: 配置和管理非常复杂。
2. 资源消耗: 需要较多的CPU和内存资源。

补充1：路由协议分为IGP(内部路由协议)与BGP（边界网关协议）

• RIP OSPF EIGRP都属于IGP，即一个自治系统内所使用的路由协议；
• BGP是自治系统间相互访问所使用的，它涉及到ISP运营商；可以理解为一个自治系统就是一台大路由器，这些路由器中间跑的协议就是BGP。这里的自治系统只的是物理意义上的自治系统例如联通网、电信网；

补充2：RIP和OSPF协议的区别：

• ① RIP是距离矢量路由协议，它通过交换明确的路由来达到全网互通，即是说他所获得的路由都是通过邻居发送过来的。类似于问路的时候沿路打听；
• ② OSPF是链路状态路由协议，他不发送路由信息。而是通过发送链路状态LSA来独自计算路由条目。类似GPS发送给对方方位后具体怎么走是本地系统计算出来的；

补充3：距离矢量协议和链路状态协议的区别：

• 距离矢量协议再发送路由更新的时候发送的是完整的路由表；
• 链路状态协议发送路由更新的时候发送的是链路状态数据库LSA；
• 距离矢量协议只能够知道直连的情况，而链路状态协议能知道整个网络的情况；

动态路由图形概述：

二、动态路由协议OSPF

OSPF是一种内部网关协议（IGP），用于在单一自治系统（AS）内决策路由。它是一种链路状态路由协议，采用Dijkstra算法（最短路径优先算法）来计算最短路径树（SPT），从而确定到达目的地的最佳路径；

1. 链路状态协议： OSPF通过交换链路状态广告（LSA）来了解整个网络的拓扑结构。每个路由器都构建一个描述网络拓扑的链路状态数据库（LSDB）。

2. 层次化设计： OSPF支持层次化设计，分为骨干区域（Area 0）和非骨干区域。这种设计有助于网络的可扩展性和管理。

3. 路由度量： OSPF使用成本（Cost）作为路由度量，成本基于链路的带宽。带宽越高，成本越低，路径越优先。

4. **快速收敛：**OSPF能够快速收敛，因为它使用触发更新和定期更新来传播网络变化。

5. 安全性：OSPF支持认证，确保只有授权的路由器可以参与路由过程。

工作原理：

① 邻居发现：路由器通过发送Hello包来发现邻居，并建立邻接关系。

② 链路状态广告（LSA）：每个路由器向其邻居发送LSA，描述其链路状态。LSA在整个区域内泛洪，确保所有路由器都有相同的LSDB。

③ 最短路径计算：每个路由器使用Dijkstra算法计算最短路径树，确定到达每个目的地的最佳路径。

④ 路由表生成：基于最短路径树，路由器生成路由表，包含到达每个目的地的下一跳信息。

配置和管理：

① 基本配置：

• 配置OSPF进程ID、路由器ID和区域信息。
• 定义网络类型和接口成本。

② 高级配置:

• 配置路由重分发、路由过滤和路由策略。
• 配置认证和加密，增强安全性。

③ 监控和维护:

• 使用命令行工具（如show ip ospf）监控OSPF状态和性能。
• 定期检查和维护LSDB，确保网络的稳定性和可靠性。

---

1）OSPF区域：为了适应大型的网络，OSPF在网络内部划分多个区域，每个OSPF路由器只维护所在区域的完整链路状态信息；

2）区域ID：可以表示成一个十进制的数字，也可以表示成一个IP；

3）骨干区域Area 0：负责区域间路由信息传播；

**4）反掩码：**正掩码必须是连续的，而反掩码可以不连续

例如：C类地址子网掩码中不可以出现255.253.255.0（二进制为11111111 11111101 11111111 00000000），而反掩码可以出现0.0.0.2（二进制为00000000 00000000 00000000 00000010）。正掩码表示的路由条目，而反掩码表示的范围。

**补充：**反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位，在反掩码中，相应位为1的地址在比较中忽略，为0的必须被检查。IP地址与反掩码都是32位的数，由于跟子网掩码刚好相反，所以也叫反掩码。

推出公式：通配符掩码=(255-掩码). (255-掩码). (255-掩码). (255-掩码）

启动OSPF路由进程并进入首个区域

• 格式：[Huawei] ospf
• 格式：[Huawei-ospf-1] area 0 //进入骨干区域

宣告路由器拥有的网段：（骨干区域视图下）

• 格式：[Huawei-ospf-1-area-0.0.0.0] network 地址网段 反掩码

查看当前视图配置：

• 格式：display this

案例：配置动态路由

1.配置动态路由器，删除静态路由，避免影响

AR1 路由器删除静态路由

[Huawei] undo ip route-static 192.168.1.0 24 192.168.4.1
[Huawei] undo ip route-static 192.168.2.0 24 192.168.4.1
[Huawei] undo ip route-static 192.168.3.0 24 192.168.4.1

LSW1 三层交换机删除静态路由

[Huawei] undo ip route-static 192.168.5.0 24 192.168.4.2

2.三层交换机配置动态路由

[Huawei]ospf     //进入OSPF协议视图
[Huawei-ospf-1] area0     //进入OSPF区域
[Huawei-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255   //宣告1.0网段
[Huawei-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255   //宣告2.0网段
[Huawei-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255   //宣告3.0网段[Huawei-ospf-1-area-0.0.0.0] network 192.168.4.0 0.0.0.255   //宣告4.0网段
[Huawei-ospf-1-area-0.0.0.0] display this     //查看当前视图的配置信息

查看IP路由表信息：

[Huawei-ospf-1-area-0.0.0.0] display ip routing-table | include /24

3.路由器配置动态路由

[Huawei]ospf     //进入OSPF协议视图
[Huawei-ospf-1] area0     //进入OSPF区域
[Huawei-ospf-1-area-0.0.0.0] network 192.168.4.0 0.0.0.255   //宣告4.0网段
[Huawei-ospf-1-area-0.0.0.0] network 192.168.5.0 0.0.0.255   //宣告5.0网段
[Huawei-ospf-1-area-0.0.0.0] display ip routing-table | include /24

三、传输层

传输层是OSI模型的第四层，位于网络层和会话层之间。传输层的主要功能是提供端到端的数据传输服务，确保数据在源端和目的端之间的可靠传输。定义端口号0~65535

常见的端口号包括：

• HTTP: 80
• HTTPS: 443
• FTP: 21
• SMTP: 25
• DNS: 53

---

1、传输层的主要协议

1）TCP (Transmission Control Protocol):

• TCP是一种面向连接的协议，提供可靠的、有序的、基于字节流的数据传输服务。
• 通过三次握手建立连接，通过四次挥手释放连接。
• TCP提供流量控制、错误控制和拥塞控制机制。

特点：可靠的、面向连接的协议，传输效率低；

2）UDP (User Datagram Protocol):

• UDP是一种无连接的协议，提供不可靠的、无序的、基于数据报的数据传输服务。
• 不提供连接建立和释放、流量控制、错误控制和拥塞控制机制。
• UDP适用于对实时性要求高、对可靠性要求不高的应用，如视频流、在线游戏等。

特点：不可靠的、无连接的服务，传输效率高；

2、TCP的封装格式

• ① SYN表示建立连接
• ② FIN表示关闭连接
• ③ ACK表示响应确认

TCP的连接与断开（"三次握手、四次断开"）

• **（1）**建立连接时，客户端A发送SYN包（SYN=j）到服务器B，并进入SYN_SEND状态，等待服务器B确认。
• **（2）**服务器B收到SYN包，必须确认客户A的SYN（ACK=j+1），同时自己也发送一个SYN包（SYN=k），即SYN+ACK包，此时服务器B进入SYN_RECV状态。
• **（3）**客户端A收到服务器B的SYN＋ACK包，向服务器B发送确认包ACK（ACK=k+1），此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。

• **（1）**客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送。
• **（2）**服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。
• **（3）**服务器B关闭与客户端A的连接，发送一个FIN给客户端A。
• **（4）**客户端A发回ACK报文确认，并将确认序号设置为收到序号加1。

TCP的应用（协议、端口）

UDP的封装格式：

UDP的应用（协议、端口）

四、ACL访问控制列表概述

访问控制列表（ACL）是路由器和交换机中的一种安全功能，用于控制网络流量。ACL通过定义一系列规则来允许或拒绝特定类型的流量通过网络设备。ACL可以应用于入口（进入路由器的流量）和出口（离开路由器的流量），以实现细粒度的流量控制和安全策略。

---

1）ACL 主要功能：

流量过滤:

• ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件，过滤网络流量。
• 通过允许或拒绝特定类型的流量，ACL可以保护网络免受未经授权的访问和恶意流量。

安全策略:

• ACL可以用于实施安全策略，如限制特定用户或设备的访问权限。
• 通过配置ACL，可以防止内部网络受到外部攻击，如拒绝服务（DoS）攻击。

流量优化:

• ACL可以用于优化网络流量，确保关键应用的带宽和优先级。
• 通过允许或拒绝特定类型的流量，可以减少不必要的流量，提高网络性能。

2）配置和管理

① 基本配置:

• 定义ACL规则，指定允许或拒绝的条件。
• 将ACL应用到特定的接口和方向（入口或出口）。

② 高级配置:

• 配置日志记录，监控和审计ACL规则的执行情况。
• 使用通配符掩码，实现更灵活的IP地址匹配。

③ 监控和维护:

• 使用命令行工具（如show access-lists）监控ACL的状态和性能。
• 定期检查和更新ACL规则，确保安全策略的有效性。
  读取第三层与第四层报文头信息，根据预先定义好的规则对报文进行过滤（匹配即停止）

3）ACL 主要类型：

① 标准ACL（基本ACL）

• 标准ACL只根据源IP地址过滤流量。
• 适用于简单的流量控制需求。
• 编号范围通常为1-99和1300-1999

② 扩展ACL（高级ACL）

• 扩展ACL可以根据源IP地址、目的IP地址、协议类型、端口号等条件过滤流量。
• 提供更细粒度的流量控制和安全策略。
• 编号范围通常为100-199和2000-2699

③ 命名ACL

• 标准ACL 和 扩展ACL 都可以使用命名ACL。
• 允许使用名称而不是数字来标识ACL。
• 提供更好的可读性和管理性。

1、基本ACL概述

配置ACL格式：

[Huawei] acl 编号    //例如2000
[Huawei-acl-basic-2000] rule [序号] deny|permit source 源IP 反掩码
[Huawei-acl-basic-2000] rule deny|permit source any

查看ACL规则：

[Huawei] display acl all
[Huawei] display acl 编号  //例如2000

删除ACL格式：（ACL编号视图下）

[Huawei-acl-basic-2000] undo rule 序号   //规则序号

• 补充：规则序号数值越小，排序越前（匹配即停止）
• 注意：相同接口的相同方向只能同时应用一个ACL

---

案例1：

• 设置规则2000，拒绝192.168.2.1访问192.168.1.1

1.路由器配置端口IP

[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 192.168.1.254 24
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.254 24

2.路由器配置ACL

[Huawei] acl 2000       //进入ACL编号范围
[Huawei-acl-basic-2000] rule deny source 192.168.2.1 0.0.0.0    //定义规则
[Huawei-acl-basic-2000] quit
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] traffic-filter inbound acl 2000  //流量控制进口
[Huawei] display acl all
[Huawei] display acl 2000    //规则5是序号，系统默认定义（步长为5）

案例2：

• 设置规则2001，只允许192.168.2.1访问192.168.1.1，其他人拒绝

[Huawei] acl 2001       //进入ACL编号范围
[Huawei-acl-basic-2001] rule permit source 192.168.2.1 0.0.0.0    //定义规则
[Huawei-acl-basic-2001] rule deny source any    //拒绝所有
[Huawei-acl-basic-2001] quit
[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] undo traffic-filter inbound  //删除流量控制进口
[Huawei-GigabitEthernet0/0/0] traffic-filter inbound acl 2001  //流量控制进口

2、高级ACL概述

案例：

• 禁止2.1访问1.1的FTP
• 禁止2.2访问1.1的HTTP，其它数据没有限制

1.路由器配置端口IP

[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.1.254 24
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 192.168.2.254 24

2.配置高级ACL

[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21
[Huawei-acl-adv-3000] rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 3000  //流量控制进口

小结：

本篇章节为**【第二阶段】NETWORK-DAY3**的学习笔记，这篇笔记可以初步了解到 动态路由OSPF、传输层概述（TCP、UDP）、ACL规则。除此之外推荐参考相关学习网址：

• 反掩码详解-CSDN博客

• TCP三次握手建立连接的过程

---

Tip：毕竟两个人的智慧大于一个人的智慧，如果你不理解本章节的内容或需要相关笔记、视频，可私信小安，请不要害羞和回避，可以向他人请教，花点时间直到你真正的理解