网络设备配置与管理（第3版）课件07 利用OSPF实现网络互联、08 利用路由器实现网络数据的筛选

07利用OSPF实现网络互联OSPF在校园网中的应用

RIP应用局限RIP适合小规模网络，变化时收敛慢，不适用大型网络。

OSPF在大型网络OSPF常用于大型网络路由，通过校园网实例展示其应用。学习OSPF路由协议基本知识01OSPF路由协议简介

OSPF协议简介OSPF是内部网关协议，用于单一自治系统内路由决策，是链路状态路由协议，基于Dijkstra算法计算最短路径，与RIP的距离矢量协议不同。

OSPF特性与应用OSPF由IETF开发，无厂商限制，无跳数限制，支持CIDR和VLSM，无自动汇总可手动汇总，管理距离110，支持等价负载均衡。

OSPF路由更新机制OSPF采用增量更新，路由变化时发送变化信息，设路由刷新时间，默认1800s（30min）为定期更新周期。

OSPF与RIP的区别OSPF是链路状态路由协议，路由器交换链路状态，根据SPF算法计算精确路径，与RIP产生路由方式不同。OSPF路由协议常用术语：Router-ID

OSPFRouter-ID概念Router-ID是运行OSPF协议路由器的唯一身份标识，用于标记链路状态的发起者，网络中不可重名。

Router-ID确定方法手动指定Router-ID；未手动指定时，启用Loopback接口选最大IP；无Loopback接口选最大物理接口IP。OSPF路由协议常用术语：Cost值OSPFCost值计算原理OSPF通过Cost值选路，基于接口带宽计算，需累加到达目标网络沿途所有接口的Cost值。Cost值的计算方式累加时只计算出接口，不计算进接口；带宽越高Cost值越小，路径越优先；OSPF路由器可自动或手动指定接口Cost值，手动指定优先。负载均衡的应用通过Cost值，可以执行负载均衡，最多允许6条链路同时执行负载均衡。OSPF路由协议常用术语：链路状态（Link-State，LSA）

链路状态信息链路状态（LSA）是OSPF路由器接口的描述信息，含IP地址、子网掩码等，OSPF路由器间交换的是链路状态而非路由表。

计算精确路径OSPF路由器获取网络链路状态信息，发给邻居，邻居存入链路状态数据库并转发，以计算到达各目标的精确路径。

网络拓扑图构建OSPF路由器通过获取网络链路状态，共同描绘出相同的网络拓扑图。OSPF路由协议常用术语：OSPF区域OSPF的区域划分与计算

OSPF区域作用分区域计算降低复杂度，各区域独立进行LSA传递与路由计算，简化后跨区转发。LSA在OSPF区域区域内精确传递，区域间简化汇总，确保内部路由器掌握精确LSA，跨区通信高效。OSPF路由协议常用术语：OSPF区域

区域0的角色与划分区域0是骨干区域必须创建，作为中转站转发LSA，其他区域间无法互相转发，基于路由器接口划分，一台路由器可属单区域或多区域。OSPF路由协议常用术语：OSPF区域路由器类型与角色

01OSPF区域类型内部路由器所有接口同属一区，区域边界路由器接口跨多区，自治系统边界路由器引入外部路由。

02内部路由器定义所有接口位于同一区域，不参与区域间路由信息传递。

03区域边界路由器功能连接多个区域，可汇总LSA转发至其他区域，关键路由信息中转站。

04自治系统边界路由器角色引入非OSPF路由，非单纯协议间重分布，担当外部路由入口。OSPF路由协议常用术语：邻居OSPF邻居关系建立OSPF需先形成邻居关系才能交换LSA，通过周期性发送Hello包建立维护，不同网络Hello间隔不同，超过4倍Hello间隔未收到则断开邻居关系。OSPF邻居条件属于相同OSPF区域\n\nHello时间和Dead时间一致\n\n配置相同认证密码\n\n末节标签一致且在相同末节区域内OSPF路由协议常用术语

邻接OSPF路由器交换LSA需从邻居关系升级为邻接关系。邻居关系仅交换Hello包，邻接关系还交换LSA。OSPF路由协议常用术语：DR和BDR

DR和BDR目的减少LSA传输，优化网络效率，DR集中处理，分发信息。

DR和BDR选举按规则选举产生，保障网络稳定性，DR主导，BDR备份，适用多路访问网络。

比较接口优先级同一网段路由器接口优先级比较，数字越大优先级越高，最高为DR，次为BDR，范围0～255，默认1，0不参与选举。

Route-ID的大小未配置时路由器接口优先级相同，通过Route-ID选举DR、BDR，Route-ID最大的为DR，其次是BDR。OSPF路由协议常用术语：Router-ID

Router-ID的三种确定方式Router-ID的三种确定方式：根据物理接口确定、根据环回接口确定、手动指定。

物理接口与环回接口的优先级OSPF启动时，路由器选物理接口最大IP为Router-ID；配环回接口则选环回最大IP。已存在Router-ID时，需重启或删创OSPF才更新。

手动配置Router-ID管理员还可以利用命令直接配置路由器的Router-ID，并且不需要重启路由器就能生效。OSPF路由协议常用术语：OSPF的数据包

OSPF数据包类型五种关键数据包支持邻居建立、LSA交换及路由计算，确保网络信息准确传播。Hello数据包Hello数据包用来建立和维护OSPF邻居，以及DR和BDR的选举。DatabaseDescriptionPackets（DBD，链路状态数据库表述数据包）LSA的基本描述信息相当于LSA的目录信息，邻居根据此信息确认自己需要哪些信息。LinkStateRequest（LSR，链路状态请求）邻居看完LSA描述信息（DBD）后，若有未知信息，发送LSR请求邻居发送相应LSA。LinkStateUpdate（LSU，链路状态更新）邻居收到LSA请求后，根据请求的LSA，将相应LSA内容完整发送给邻居。OSPF路由协议常用术语：OSPF的数据包LinkStateAcknowledgmentPacket（LSAck，链路状态确认数据包）

路由器收到邻居LSA后返回LSAck确认，LSA组织成LSDB保存，OSPF根据LSDB计算路由表。OSPF路由协议常用术语：OSPF的网络类型OSPF网络类型概览在OSPF中，网络类型会影响配置方式，所以需要对网络类型有一个基本认识，其主要特点见表7-1。点到点与点到多点网络点到点网络：Hello时间10s，不选举DR和BDR，邻居自动建立。点到多点网络：Hello时间30s，不选举DR和BDR，邻居自动建立。广播与非广播网络广播：时长10s，支持自动；非广播：时长30s，支持手动。两者均为是。点到多点非广播网络点到多点非广播网络，英文为Point-to-MultipointNon-Broadcast，时长30秒，非自动，需手动操作。实现OSPF配置02学习情境

学习情境小张学完OSPF理论，按王师傅指导，依拓扑图实践配置，深化理解网络协议。

实践操作依据拓扑，小张动手配置OSPF，实操中领悟协议机制，提升技能。操作过程：搭建网络拓扑

网络拓扑搭建指南网络拓扑如图7-3所示，请读者根据拓扑图在模拟器上搭建网络拓扑。操作过程：搭建网络拓扑设备IP地址分配

网络设备配置详细列出了R1至R6路由器各接口名称、IP地址及网关信息，包括G0/0/0至G0/0/2和Loopback接口。

特殊配置R5的G0/0/1接口具有特定IP/30，网关为，R6作为其对端设备。操作过程：配置路由器的接口地址R1接口配置

配置过程设置GigabitEthernet0/0/0IP为/24，GigabitEthernet0/0/2为/24，LoopBack0为/32，LoopBack1为/24。

接口配置详细配置了四个网络接口，包括两个GigabitEthernet和两个LoopBack，分配了相应的IP地址及子网掩码。操作过程：配置路由器的接口地址R2接口配置

配置接口地址依次为GigabitEthernet0/0/0至0/0/2及LoopBack0配置IP地址，分别为/24，/24，/24与/32。操作过程：配置路由器的接口地址R3、R4、R5、R6接口配置

配置过程为R3至R6的多个GigabitEthernet及LoopBack接口分配特定IP地址，如R3的GigabitEthernet0/0/0设为/24。

具体配置示例：R4的LoopBack0配置为/32，R5的GigabitEthernet0/0/1设置为/30，R6的GigabitEthernet0/0/1则为/30。操作过程：配置路由器的接口地址

连通性测试利用ping命令测试相邻设备连通性，检查IP地址配置是否正确，确保相邻设备能相互通信，此步骤需读者自行操作。操作过程：OSPF基本配置Area0区域的OSPF配置

OSPF配置R2设置R2的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF。

OSPF配置R3设置R3的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF。

OSPF配置R5设置R5的RouterID为，开启OSPF进程1，配置Area0，指定接口和运行OSPF，G0/0/1接口未配置OSPF。

拓扑结构R2、R3和R5位于Area0，R2和R3同时在Area1和Area2，R5连接校园网络，R2和R3为ABR，R5可视为ASBR。操作过程：OSPF基本配置Area1区域的OSPF配置

OSPF区域配置区域1包含R1、R2、R3，R3的G0/0/2口误配为区域1，需修正。

R1配置R1配置OSPF，ID为，宣告、/24、/24、/24网段。

R2配置R2配置OSPF，宣告/24网段，其G0/0/2口应属区域2，配置待修正。

R3配置R3配置OSPF，宣告/24网段，其G0/0/2口规划错误，应修正至区域2。操作过程：OSPF基本配置Area2区域的OSPF配置

01OSPF配置区域2涉及R2、R3、R4，R2的G0/0/3接口归区域2，网络/24。

02R2配置[R2]ospf1，[R2-ospf-1]area2，network55。

03R3配置[R3]ospf1，[R3-ospf-1]area2，network55。

04R4配置[R4]routerid，[R4]ospf1，[R4-ospf-1]area2，networks/32，/24，/24，/24。操作过程：测试配置正确性下面采用两种方法来判断路由配置十分正确操作过程：测试配置正确性使用ping命令进行连通性测试操作过程在R1路由器中，用ping命令从地址向地址发送数据包，测试网络连通性，结果显示5个数据包全部成功接收，无丢包，平均往返时间42ms。测试配置正确性通过在路由器R1上执行ping命令，验证了网络配置的正确性，参数"-a"指定源地址为，目标地址为，测试结果表明网络连通性良好，无丢包现象，证明配置准确有效。操作过程：测试配置正确性查看路由器的路由信息

查看路由器路由表使用displayiprouting-table命令,检查R1路由器全部路由,识别OSPF生成的路由条目。

筛选OSPF路由执行disiprouting-tableprotocolospf命令,仅展示由OSPF协议创建的路由信息。操作过程：引入默认路由

操作过程配置R5默认路由至，通过OSPF发布至其他路由器，验证R1路由表确认默认路由成功引入。

验证步骤在R1上执行displayiprouting-table，检查/0条目确认默认路由已通过OSPF发布。操作过程：引入默认路由步骤3测试引入的默认路由正确性

引入默认路由在外网路由器R6配置指向R5的默认路由，确保网络联通性。

联通性测试使用R1的ping命令带参数"-a"测试与R6的联通，确认默认路由有效。操作过程：配置备份路由R1的OSPF路由详情

配置备份路由在R1和R4上配置，利用两条链路至区域0，确保一条为主用，另一条为备用，实现链路冗余。OSPF路由展示R1的OSPF路由显示有多条到达同一目的地的路径，通过GigabitEthernet0/0/0和GigabitEthernet0/0/2接口，成本相同，需设定优先级。操作过程：配置备份路由调整R1主备链路策略

操作过程通过增加R1至R3链路开销值，使R1至R2链路成为主链路，操作含查看、修改开销值及确认路由信息。

步骤详解步骤1查看默认开销值，步骤2修改G0/0/2接口开销至10，步骤3确认路由下一跳指向R2，R3路由消失。操作过程：指定OSPF区域中的DR和BDR

指定DR和BDR配置OSPF区域，确保R5为DR，R2为BDR，通过优先级和延迟选举调整实现指定角色。

配置策略管理员需调整路由器优先级，设置合理的DeadInterval，防止非期望路由器成为DR或BDR，确保网络稳定性。操作过程：指定OSPF区域中的DR和BDR查看区域中的DR和BDR

01查看邻居信息判断DR和BDR通过R5的邻居信息显示，确认R2为DR，R5为BDR，状态Full，模式Slave，优先级1。

02通过接口信息判断DR和BDRR5的G0/0/0端口信息显示，DR为的R2，BDR为R5自身，状态BDR，类型Broadcast。操作过程：指定OSPF区域中的DR和BDR指定DR和BDR

01OSPFDR/BDR选举规则优先级0-255决定选举，高优先级、大RouterID优先，缺省优先级1，非抢夺性，稳定后不变，除非重启。

02修改优先级实现DR/BDR指定通过命令"ospfdr-priority"修改接口优先级，R5设为20，R2设为10，需重启设备或OSPF进程，确保期望的DR/BDR配置生效。THEEND谢谢08利用路由器实现网络数据的筛选学习访问控制列表基本原理01访问控制列表简介与设计要点

访问控制列表简介ACL利用三层技术高效控制数据，依据IP地址等信息过滤、分类和删除数据，实现网络访问控制。

设计要点设计ACL配置时需考虑检查过滤数据包、控制路由流量、匹配NAT流量及策略路由，确保网络管理高效灵活。

自上而下的处理方式访问控制列表配置默认有序列号排序，需考虑语句顺序，匹配范围由小到大，一条规则匹配成功后不再匹配后续语句。

添加表项添加的语句一般自动放入控制列表末尾，也可在语句前放置序号提前放置，但不能覆盖已存在序号。访问控制列表简介与设计要点访问控制列表放置位置基本访问控制列表放置在距离目的节点较近位置，高级访问控制列表放置在离源地址较近位置。应用方向访问控制列表应用在路由器接口，分为对进入接口数据匹配和对离开接口数据匹配。注意事项所有规则不匹配时，普通数据路由转发，Telnet和路由过滤数据不允许转发，需有效设计语句。数据匹配（反掩码）

ACL命令解析反掩码是网络地址后的反向数字串，1对应位可不匹配，0对应位须完全匹配，32位运算告知路由器匹配地址位。

网络地址与反掩码网络地址通过网络号与掩码运算确定范围，同一范围内为局域网用户，ACL用反掩码精细确定需过滤用户。

反掩码与网络号的关系反掩码与网络号完全相反，掩码对应网络地址得网络范围，反掩码对应网络地址可匹配筛选范围。访问控制列表的类型

访问控制列表类型访问控制列表分为基本、高级和二层类型。基本ACL匹配源IP等，高级ACL匹配源/目的IP、端口等，二层ACL匹配MAC地址等。

访问控制列表编号范围基本访问控制列表号2000~2999，高级3000~3999，二层4000~4999。访问控制列表配置应用方法02学习情境

学习情境小张跟随王师傅指导，于模拟器实践网络拓扑搭建，深入掌握访问控制列表配置技巧及差异。

实践内容重点学习访问控制列表基础，体验不同类型的配置流程，理解其功能与应用区别。子任务1利用基本ACL实现数据筛选：搭建网络拓扑

网络拓扑与配置目标使用图8-2网络拓扑演示基本ACL应用，通过路由器过滤数据，仅允许管理员计算机PC1访问服务器。子任务1利用基本ACL实现数据筛选：搭建网络拓扑计算机和路由器接口的网络参数

网络拓扑搭建通过R1与R2的G0/0/0接口互联，E1/0/0与G0/0/1连接不同网段，PC1、PC2及Server1接入相应网段，配置IP与网关实现通信。

设备接口参数R1的G0/0/0与E1/0/0，R2的G0/0/0与G0/0/1设定IP地址，PC1、PC2、Server1配置IP与默认网关，确保网络连通性。子任务1利用基本ACL实现数据筛选：配置网络参数配置R1的接口地址

进入R1的GigabitEthernet0/0/0接口，配置IP地址24；进入Ethernet1/0/0接口，配置IP地址25。配置R2的接口地址

R2的GigabitEthernet0/0/0接口地址为/24，GigabitEthernet0/0/1接口地址为/24。子任务1利用基本ACL实现数据筛选步骤3配置路由在路由器R1和R2上配置静态路由确保全网通信，R1配置24网段路由指向，R2配置24网段路由指向。测试网络通信主要测试两台计算机能否访问服务器，如果配置没有错误，应该是能够正常访问，测试过程请读者自行操作。子任务1利用基本ACL实现数据筛选：配置基本ACL

配置基本ACL配置基本ACL，允许PC1访问服务器，基于源IP过滤，应用于R1的G0/0/1接口出站方向。子任务1利用基本ACL实现数据筛选：配置基本ACL编写基本ACL规则

子任务1创建基本ACL2000，允许源IP0数据，随后规则拒绝所有其他数据，确保非特许数据无法通过。子任务1利用基本ACL实现数据筛选：配置基本ACL应用基本ACL于路由器接口将基本ACL应用到路由器R1的G0/0/1接口出去的方向，命令为[R1-GigabitEthernet0/0/1]traffic-filteroutboundacl2000。子任务1利用基本ACL实现数据筛选：配置基本ACL测试与查看信息

子任务1配置基本ACL，允许源地址0访问，拒绝其他，共匹配23个数据包。

测试通信PC1与Server1通信正常，PC2与Server1通信中断，验证ACL效果。子任务2利用基本ACL控制Telnet数据筛选Telnet登录控制通过基本ACL限制特定计算机远程登录R1，保障网络安全，精准控制Telnet数据流。ACL配置位置不同于普通数据流，Telnet控制的ACL需配置于R1的VTY入站方向，精确管理远程登录源。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

开启R1的VTY设置VTY接口，配置登录密码为"huawei"，限制远程访问安全。

测试Telnet登录在R2与PC3上尝试Telnet登录R1，验证ACL效果，确保数据筛选准确。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY

在R2上登录R1在R2上执行telnet命令，尝试连接后进行登录认证，输入密码后成功登录到R1。子任务2利用基本ACL控制Telnet数据筛选：开启R1的VTY在PC3上登录R1

Telnet登录R1PC3成功Telnet至R1,显示登录认证界面,输入密码后登录成功。配置基本ACL目标为仅许可PC3使用Telnet访问R1,需设定相应ACL规则。子任务2利用基本ACL控制Telnet数据筛选

配置基本ACL在路由器R1上配置ACL2001，规则5允许源0，规则10拒绝所有源，应用到VTY0-4入站方向。子任务2利用基本ACL控制Telnet数据筛选：测试R2尝试登录R1失败R2尝试telnet登录，提示不能连接到远程主机，登录失败。PC3成功登录R1PC3通过telnet连接，尝试连接后成功建立连接，经登录认证输入密码，最终登录R1成功。ACL配置影响R2无法用Telnet命令登录R1，PC3可以，说明配置的ACL生效。子任务3利用高级