Cisco OSPF排错及其七种状态机

Ospf知识点总结与案例分析一、知识点总结1.OSPF报文有哪些？报文的作用？报文hello建立、维护和保持邻居关系DD 数据库摘要描述选举主从LSR 请求所需要的LSA，只携带了LSA的头部信息LSU 更新请求的LSA，携带了完整LSA信息LSACK 对收到的LSA做确认①影响邻居关系建立？OSPF头部：Router ID不冲突、区域ID一致、认证类型、数据一致Hello报文：网络掩码一致（P2P除外）、option选项、hello和dead时间一致、邻居列表有自己的router id②领接关系建立失败？双方开启协商MTU，如果从大主小，从卡在exchange,主卡在exstart，如果从小主大，主从都卡在exstart状态2.OSPF状态机有哪些？状态机的作用？down状态，开启了ospf，未收到对方的hello报文init状态，收到对方的hello报文，不包含自己的router id2-way状态，收到对方hello报文，包含自己的router id，邻居建立成功的标识Exstart状态，双方首包发送DD报文，进行主从关系选举，携带序列号、I、M、MS，进行比较选出主从Exchange，从以主的序列号进行发送DD，进行数据库摘要描述，主收到后，序列号+1，也会给从发送DD数据库摘要，从收到后要给予回复，从永远会比主多发一个回复给予确认Loading状态，进行实际的LSR、LSU、LSACK的交互FUll状态，SPF算法进行路径最优计算状态机作用，标识ospf协商的工作阶段，方便后续排错3.DR BDR 作用？DR作用，避免出现LSA的过度泛洪，减小LSDB数据库大小BDR作用，BDR是DR可靠，当DR出现故障时，BDR能够成为DR的角色DR选举：优先级高的为DR，优先级相同，router id大的优先4.OSPF的网络类型有哪些？broadcast广播P2P点到点NBMA 非广播多路访问P2MP 点到多点这些网络类型的作用是什么？区分二层链路，更好的构建拓扑信息5.OSPF防环原则和LSA头部和分类区域内1/2LSA 通过SPF怎么防环？//说明过程根据spf算法，以自己为根算出最短路径树，不出现环路区域间3/4LSA 通过ABR水平割防环？区域设计防环？3类lsa传递的路由信息，从非骨干区域接收的路由只接收不计算非骨干区域必须和骨干区域相连接3类描述的是区域间的路由信息，而4类描述的是asbr的cost 信息区域外5/7LSA 通过3/4防环。

OSPF链路状态数据库1OSPF的链路状态数据库（LSDB）一台路由器中所有的有效LSA都被存放在它的链路状态数据库中。

正确的LSA可以描述一个OSPF区域网络拓扑的结构。

因为一个区域中的每一台路由器都要利用这个数据库的信息来计算它自己的最短路径树，因此同一区域的数据库的统一性对于正确的路由器选择就变得十分重要。

查看OSPF链路状态数据库：Show ip ospf database图1-1 OSPF数据库信息截图如前面提到的序列号、老化时间，当LSA在传递过程中按照转发延迟增加老化时间，当保存在LSDB中时，老化时间是逐渐增大的，当LSA的老化时间到达了1小时，那么它们将从OSPF域中被清除。

这就意味着，在这里必须有一种机制来防止正常的LSA到达最大生存时间。

这种机制就是链路状态刷新（link state refresh）。

每隔30min 始发这条LSA的路由器将泛洪扩散这条LSA的一个新拷贝，并将它的序列号增加1，老化时间设置为0。

其他OSPF路由器一旦收到这个新拷贝，就会用这个新拷贝替换该LSA原来的拷贝，并重新计算老化时间。

2LSA的类型由于OSPF定义了多种路由器的类型，因而定义多种LSA的类型也是有必要的。

类型1：路由器LSA（Router LSA）类型2：网络LSA（Network LSA）类型3：网络汇总LSA（Network summary LSA）类型4：ASBR汇总LSA（ASBR summary LSA）类型5：AS外部LSA（External LSA）类型6：组成员LSA类型7：NSSA外部LSA（NSSA External LSA）类型8：外部属性LSA类型9：Opaque Link-Local LSA（链路本地范围）类型10：Opaque Area LSA（本地区域范围）类型11：Opaque AS LSA（AS范围）2.1路由器LSA每一台路由器都会产生路由器LSA通告。

OSPF协议各种错误的解释及产生的原因(V5)OSPF协议各种错误的解释及产生的原因内部公开OSPF协议各种错误的解释及产生的原因（V5）OSPF协议各种错误可以通过display ospf error命令显示，通过这个命令来说明OSPF协议的各种错误的产生原因。

【命令】display ospf [ process-id ] error【视图】任意视图【参数】process-id：OSPF进程号，取值范围为1～65535。

如果不指定进程号，则对当前所有OSPF进程有效。

【描述】display ospf error命令的功能是显示OSPF发生错误的次数。

在正常情况下，这些错误的值不会很大，如果出现了网络故障，通常会发现某个错误的值非常大，而且一直在不断地增长。

display ospf error显示结果如下：【举例】dis ospf errorOSPF Process 1 with Router ID 1.0.0.1 OSPF Packet Error Statistics0 : OSPF Router ID confusion 0 : OSPF bad packet 0 : OSPF bad version 0 : OSPF bad checksum0 : OSPF bad area ID 0 : OSPF drop on unnumber interface 0 : OSPF bad virtual link 0 : OSPF bad authentication type 0 : OSPF bad authentication key 0 : OSPF packet too small 0 : OSPF Neighbor state low 0 : OSPF transmit error 0 : OSPF interface down 0 : OSPF unknown neighbor 0 : HELLO: Netmask mismatch 0 : HELLO: Hello timer mismatch 0 :HELLO: Dead timer mismatch 0 : HELLO: Extern option mismatch 0 : HELLO: NBMA neighbor unknown 0 : DD: MTU option mismatch 0 : DD: Unknown LSA type 0 : DD: Extern option mismatch 0 : LS ACK: Bad ack 0 : LS ACK: Unknown LSA type 0 : LS REQ: Empty request 0 : LS REQ: Bad request0 : LS UPD: LSA checksum bad 0 : LS UPD: Received lessrecent LSA 2021-07-21华为三康机密，未经许可不得扩散第1页, 共6页OSPF协议各种错误的解释及产生的原因0 : LS UPD: Unknown LSA type内部公开【原因和处理方法】错误名称 OSPF Router ID confusion 收到了一个含有和本机相同Router-ID的OSPF报文。

OSPF接口状态机IE1:低层协议指明接口可操作IE2:低层协议指明接口不可操作IE3:网络管理系统或低层协议指明接口loop upIE4:网络管理系统或低层协议指明接口loop downIE5:收到Hello包IE6:Wait Timer超时IE7:选举为DRIE8:被选举为BDRIE9:没有被选举为DR/BDR,成为DRothersIE10:邻居路由器发生了变化DOWN接口的初始状态。

这时下层协议之处接口未断开，接口上没有协议流量的手法。

接口上的所有参数都被设为初始值，关闭所有的接口计时器，该接口上也没有相关联的邻接。

LOOPBACK路由器到网路的接口处于回环（Loopback），回环可能以硬件或软件的方式实现。

回环接口不能用于正常的数据传输，但仍能通过ICMP ping或为错误检测来收集接口信息。

IP包仍需要被发往回环接口。

为此，要在Router-LSA中宣告此接口为接口IP地址的主机路径。

Wating适合广播型,NBMA等网络类型上的接口.这个时候接口发送和接收hello报文,设置等待时间,试图识别网络上的DR、BDR.为此，路由器对其接收到的Hello包进行监听。

在结束等待前，路由器不能被选举为DR或BDR。

这可以避免不必要地改变DR和BDR。

在这里可以看出，ospf在选举DR、BDR的时候是再端口状态机waiting状态~！在此状态是，路由器试图判定网络上的DR、BDR。

为此，路由器对其接收到的Hello包进行监听。

在结束等待前，路由器不能被选为DR或BDR。

这可以避免不必要的改变DR和BDR Point-to-Point仅适合点到点点到多点线路虚电路等网络类型。

这时，连接到物理点对点网络或虚拟通道的接口开始工作，进入此状态之后，路由器试图与邻居路由器形成邻接。

并按HelloInterval的间隔发送Hello包DR-Other广播或者NBMA网络张的其他路由器被选为DR，其自身也没有被选为BDR。

OSPF详解Open Shortest Path First(⼀)OSPF协议是由Internet⼯程任务组(Internet Engineering Task Force)开发的路由选择协议，且来替代存在⼀些问题的RIP协议。

OSPF协议是IETF 组织建议使⽤的内部⽹关协议(IGP)。

OSPF使⽤Dijkstra的最短路径优先(SPF)算法，其的发展经过了⼏个RFC，所有的RFC都是由John Moy撰写。

RFC1131详细说明了OSPF协议版本1，这个版本从来没有在实验平台以外使⽤过，OSPF协议版本2，也就是现在IPv4协议仍然使⽤的版本，最初是在RFC1247中说明的，最新是在RFC2328中说明的。

(⼀)OSPF基本原理与实现OSPF的基本特性：·OSPF属于IGP，是Link-State协议，基于IP Pro 89。

·采⽤SPF算法（Dijkstra算法）计算最佳路径。

·快速响应⽹络变化。

·以较低频率（每隔30分钟）发送定期更新，被称为链路状态刷新。

·⽹络变化时是触发更新。

·⽀持等价的负载均衡。

·OSPF协议将IP头部的TTL值设置为1，并且把优选位设置成互连⽹络控制OSPF的邻居与邻接关系：OSPF中路由器之间的关系分两种：1、邻居2、邻接·OSPF路由器可与它直连的邻居建⽴邻居关系。

·P2P链路上，邻居可以到达FULL状态，形成邻接关系·MA⽹络，所有路由器只和DR/BDR(Backup Designated Router)到达FULL状态。

形成邻接·路由器只和建⽴了邻接关系的邻居才可以到达FULL状态。

·路由更新只在形成FULL状态的路由器间传递。

·OSPF路由器只会与建⽴了邻接关系的路由器互传LSA。

同步LSDBR2#sh ip os neiNeighbor ID Pri State Dead Time Address Interface1.1.1.1 0 FULL/ - 00:00:35 12.1.1.1 Serial1/03.3.3.3 0 FULL/ - 00:00:38 23.1.1.3 Serial1/1⼀台OSPF路由器对其他OSPF路由器的跟踪需要每台路由器都提供⼀个路由器ID，路由器ID在OSPF区域内惟⼀标识⼀台路由器的IP地址,Cisco路由器通过下⾯的⽅法得到它的路由器ID:1）⼿⼯指定Route-ID x.x.x.x（可任意，但区域内不能重复）　2）⾃动选择最⼤的Loopback IP作route-id　3）⾃动选择最⼤的物理接⼝IP（接⼝必须是激活状态）推荐⼿⼯指定的router-id这⾥，使⽤Loopback接⼝作为路由器ID有两个好处:(1):Loopback接⼝⽐任何其他物理接⼝更稳定，只有整个路由器失效进它才会失效(2):⽹络管理只在预先分配和识别作为路由器ID的地址时有更多的回旋余地其实，Loopback接⼝的⼀个主要好处在于它具有更好控制路由器ID能⼒.OSPF开销值计算：·OSPF Cost = 10^8/BW (bps)⼏种常⽤接⼝的COST值：1、环回⼝的COST值是12、serial⼝的COST值是643、标准以太接⼝是104、快速以太接⼝是1SPF算法：最短路径优先算法1、在⼀个区域内的所有路由器有同样的LSDB2、每⼀个路由器在计算时都将⾃已做为树根3、具有去往⽬标的最低cost值的路由是最好的路径4、最好的路由被放⼊转发表·OSPF的报⽂：1：数据包头部：所有OSPF数据包都是由⼀个24个⼋位组字节的头部开始的，如下图所⽰:这⾥，如果认证类型=2。

ospf故障排错流程拓扑图：在这样一个较复杂的OSPF多区域网络中，配置稍不小心就可能出错，出现故障后我们该从哪下手开始OSPF故障排错呢？对大多数刚学路由或没有经验的从业人员来说真的是头疼。

我以多年的OSPF工作经验总结了以下OSPF的故障排错步骤，希望对大家有所帮助：1、首先要查看所有路由器的路由表，找到没学到路由的那台路由器。

使用命令show ip route，对照拓扑图，到底哪条路由没学到。

这条路由该有谁发过来这台路由器才能学到。

2、查看第1步中缺少路由的路由器OSPF邻接关系表。

查看这台路由器是否与所有邻居建立好邻接关系（在OSPF中要发送LSU，必须先建立邻接关系）。

使用show ip ospf neighbor，找到本路由器与谁没有建立好邻接关系。

3、解决没建立好邻接关系的问题。

如何解决？我们首先理解OSPF建立邻接关系的三大条件：1）两邻居路由器必须在同一物理链路上。

使用show cdp neighbor命令查看CDP邻居关系。

如果发现没有CDP邻接关系说明物理连接有问题，你得去查看接口状态是否为UP？是否激活接口？是否物理线路有问题？如果能看到CDP邻居关系说明物理链路没有问题。

进入下一步。

2）相连路由器都必须加入OSPF。

通过show ip protocols命令查看路由器接口是否宣告到相应区域内。

或者用debug ip ospf hello命令查看路由器哪些接口没有发HELLO包，就说明这个接口没有加入OSPF。

找到问题马上更正。

如果这一步也没问题，进入下一步。

3）相连路由器的6大HELLO包参数是否一样？Network/maskHello/dead intervalNetwork typeArea-idArea-typeAuthentication-typea.前四个参数通过show ip ospf interface ……Router#show ip ospf int f0/0FastEthernet0/0 is up, line protocol is upInternet Address 192.168.1.2/24,Area 0Process ID 2, Router ID 192.168.1.2, Network Type BROADCAST,Cost: 1 Transmit Delay is 1 sec, State BDR, Priority 1Designated Router (ID) 192.168.1.1, Interface address 192.168.1.1Backup Designated router (ID) 192.168.1.2, Interface address 192.168.1.2Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40Hello due in 00:00:00Supports Link-local Signaling (LLS)Index 1/1, flood queue length 0Next 0x0(0)/0x0(0)Last flood scan length is 1, maximum is 1Last flood scan time is 0 msec, maximum is 0 msecNeighbor Count is 1, Adjacent neighbor count is 1Adjacent with neighbor 192.168.1.1 (Designated Router) Suppress hello for 0 neighbor(s)b.后两个参数通过show ip ospf 查看Router#show ip osRouting Process "ospf 2" with ID 192.168.1.2Start time: 00:02:45.988, Time elapsed: 00:11:02.160Supports only single TOS(TOS0) routesSupports opaque LSASupports Link-local Signaling (LLS)Supports area transit capabilityRouter is not originating router-LSAs with maximum metricInitial SPF schedule delay 5000 msecsMinimum hold time between two consecutive SPFs 10000 msecs Maximum wait time between two consecutive SPFs 10000 msecs Incremental-SPF disabledMinimum LSA interval 5 secsMinimum LSA arrival 1000 msecsLSA group pacing timer 240 secsInterface flood pacing timer 33 msecsRetransmission pacing timer 66 msecsNumber of external LSA 0. Checksum Sum 0x000000Number of opaque AS LSA 0. Checksum Sum 0x000000Number of DCbitless external and opaque AS LSA 0Number of DoNotAge external and opaque AS LSA 0Number of areas in this router is 1. 1 normal 0 stub 0 nssa area-type Number of areas transit capable is 0External flood list length 0Area BACKBONE(0)Number of interfaces in this area is 1Area has message digest authentication authentication-typeSPF algorithm last executed 00:00:10.064 agoSPF algorithm executed 5 timesArea ranges areNumber of LSA 3. Checksum Sum 0x0291F5Number of opaque link LSA 0. Checksum Sum 0x000000Number of DCbitless LSA 0Number of indication LSA 0Number of DoNotAge LSA 0Flood list length 0配合debug ip ospf event经过这三个步骤的检查，一定能找到问题所在，解决故障！整个排错过程都离不开OSPF的原理。

Cisco路由技术基础知识详解Cisco路由技术基础知识详解路由器<一>最简单的网络可以想象成单线的总线，各个计算机可以通过向总线发送分组以互相通信。

但随着网络中的计算机数目增长，这就很不可行了，会产生许多问题：1、带宽资源耗尽。

2、每台计算机都浪费许多时间处理无关的广播数据。

3、网络变得无法管理，任何错误都可能导致整个网络瘫痪。

4、每台计算机都可以监听到其他计算机的通信。

把网络分段可以解决这些问题，但同时你必须提供一种机制使不同网段的计算机可以互相通信，这通常涉及到在一些ISO网络协议层选择性地在网段间传送数据，我们来看一下网络协议层和路由器的位置。

我们可以看到，路由器位于网络层。

本文假定网络层协议为IPv4，因为这是最流行的协议，其中涉及的概念与其他网络层协议是类似的。

一、路由与桥接路由相对于2层的桥接/交换是高层的概念，不涉及网络的物理细节。

在可路由的网络中，每台主机都有同样的网络层地址格式（如IP地址），而无论它是运行在以太网、令牌环、FDDI还是广域网。

网络层地址通常由两部分构成：网络地址和主机地址。

网桥只能连接数据链路层相同（或类似）的网络，路由器则不同，它可以连接任意两种网络，只要主机使用的是相同的网络层协议。

路由器<二>二、连接网络层与数据链路层网络层下面是数据链路层，为了它们可以互通，需要“粘合”协议。

ARP（地址解析协议）用于把网络层(3层)地址映射到数据链路层(2层)地址，RARP(反向地址解析协议)则反之。

虽然ARP的定义与网络层协议无关，但它通常用于解析IP地址；最常见的数据链路层是以太网。

因此下面的ARP和RARP的例子基于IP和以太网，但要注意这些概念对其他协议也是一样的。

1、地址解析协议网络层地址是由网络管理员定义的抽象映射，它不去关心下层是哪种数据链路层协议。

然而，网络接口只能根据2层地址来互相通信，2层地址通过ARP从3层地址得到。

并不是发送每个数据包都需要进行ARP请求，回应被缓存在本地的ARP表中，这样就减少了网络中的ARP包。

OSPF邻居的八种状态
OSPF在邻居路由器之间创建邻接体关系来交换路由信息，其邻居的建立过程一共可能出现八种状态，每种状态代表的具体含义如下：
Down 没有从邻居处收到hello数据包。

Attempt 用于NBMA网络的连接，并表明没有新的信息从这个邻居处收到。

Init 从另外的路由器收到hello报文，但是在此hello报文中没有看到自己的router ID。

2way从邻居处接收到的hello报文的邻居字段中包含有自己的rout er ID。

这个状态下选举DR和BDR。

ExStart 建立主/从关系并决定初始的DD序号以便准备交换DD报文。

带有最高router ID的路由器将成为主路由器。

Exchange 路由器通过发送DD报文向邻居描述它自己的完整的链路状态数据库，同时，路由器也可以发送LSR报文来请求更新的LSA。

Loading 路由器将发送LSR给邻居请求在Exchange状态下发现的新的LSA，并接收对请求的LSA的响应报文（LSU）。

Full 建立起邻接的邻居中所有LSA信息都是同步的。

思科实验-实验1报告实验报告⼀、实验⽬的(本次实验所涉及并要求掌握的知识点)实验1.1：第 1 部分：检查DR 和BDR ⾓⾊变化第 2 部分：修改OSPF 优先级和强制选举实验1.2第 1 部分：配置基本交换机设置第 2 部分：通过思科PAgP 配置EtherChannel第 3 部分：配置802.3ad LACP EtherChannel第 4 部分：配置冗余EtherChannel 链路⼆、实验内容与设计思想(设计思路、主要数据结构、主要代码结构)实验1.1：在本练习中，您将检查DR 和BDR ⾓⾊并观察⽹络变化时⾓⾊的变化。

然后您将修改优先级以控制⾓⾊并强制进⾏新的选举。

最后，您将检验路由器是否充当所需⾓⾊。

实验1.2三台交换机已完成安装。

在交换机之间存在冗余上⾏链路。

通常只能使⽤这些链路中的⼀条；否则，可能会产⽣桥接环路。

但是，只使⽤⼀条链路只能利⽤⼀半可⽤带宽。

EtherChannel 允许将多达⼋条的冗余链路捆绑在⼀起成为⼀条逻辑链路。

在本实验中，您将配置端⼝聚合协议(PAgP)（Cisco EtherChannel 协议）和链路聚合控制协议(LACP)（EtherChannel 的IEEE 802.3ad 开放标准版本）。

三、实验使⽤环境(本次实验所使⽤的平台和相关软件)Cisco Packet Tracer四、实验步骤和调试过程(实验步骤、测试数据设计、测试结果分析)实验1.1：第⼀部分：检查DR 和BDR 的⾓⾊更改第 1 步：请等待，直到链路指⽰灯由琥珀⾊变为绿⾊。

当您在Packet Tracer 中⾸次打开⽂件时，您可能会注意到交换机的链路指⽰灯为琥珀⾊。

这些链路指⽰灯会保持琥珀⾊50 秒钟，在此期间，交换机会确认所连接的是路由器⽽不是交换机。

或者，您可以单击“Fast Forward Time”来跳过此过程。

第 2 步：检验当前的OSPF 邻居状态。

a.在每台路由器上使⽤适当的命令来检查当前DR 和BDR。

OSPF七种状态机状态分析OSPF－7种类型LSAOSPF的七种类型LSA：1、路由器LSA （Router LSA）由区域内所有路由器产生，并且只能在本个区域内泛洪广播。

这些最基本的LSA通告列出了路由器所有的链路和接口，并指明了它们的状态和沿每条链路方向出站的代价。

2、网络LSA （Network LSA）由区域内的DR或BDR路由器产生，报文包括DR和BDR连接的路由器的链路信息。

网络LSA也仅仅在产生这条网络LSA的区域内部进行泛洪。

3、网络汇总LSA （Network summary LSA）由ABR产生，可以通知本区域内的路由器通往区域外的路由信息。

在一个区域外部但是仍然在一个OSPF自治系统内部的缺省路由也可以通过这种LSA来通告。

如果一台ABR路由器经过骨干区域从其他的ABR路由器收到多条网络汇总LSA，那么这台始发的ABR 路由器将会选择这些LSA通告中代价最低的LSA，并且将这个LSA的最低代价通告给与它相连的非骨干区域。

4、ASBR汇总LSA （ASBR summary LSA）也是由ABR产生，但是它是一条主机路由，指向ASBR路由器地址的路由。

5、自治系统外部LSA （Autonomous system external LSA）由ASBR产生，告诉相同自治区的路由器通往外部自治区的路径。

自治系统外部LSA是惟一不和具体的区域相关联的LSA通告，将在整个自治系统中进行泛洪。

6、组成员LSA （Group membership LSA） * 目前不支持组播OSPF （MOSPF协议）7、NSSA外部LSA （NSSA External LSA）由ASBR产生，几乎和LSA 5通告是相同的，但NSSA外部LSA 通告仅仅在始发这个NSSA外部LSA 通告的非纯末梢区域内部进行泛洪。

在NSSA区域中，当有一个路由器是ASBR时，不得不产生LSA 5报文，但是NSSA中不能有LSA 5报文，所有ASBR产生LSA 7报文，发给本区域的路由器。

CISCO路由器配置手册返回教程第一章路由器配置基础一、基本设置方式二、命令状态三、设置对话过程四、常用命令五、配置IP寻址六、配置静态路由第二章广域网协议设置一、HDLC二、PPP三、X.25四、Frame Relay五、ISDN六、PSTN第三章路由协议设置一、RIP协议二、IGRP协议三、OSPF协议四、重新分配路由五、IPX协议设置第四章服务质量及访问控制一、协议优先级设置二、队列定制三、访问控制第五章虚拟局域网（VLAN）路由一、虚拟局域网(VLAN)二、交换机间链路（ISL）协议三、虚拟局域网（VLAN）路由实例参考第一章路由器配置基础一、基本设置方式一般来说，可以用5种方式来设置路由器：1．Console口接终端或运行终端仿真软件的微机；2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；3．通过Ethernet上的TFTP服务器；4．通过Ethernet上的TELNET程序；5．通过Ethernet上的SNMP网管工作站。

但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:波特率：9600数据位：8停止位：1奇偶校验: 无二、命令状态1.router>路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2.router#在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3.router(config)#在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4.router(config-if)#; router(config-line)#; router(config-router)#;…路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

网络实验(OSPF卡在各种状态的原因)______________________________________白惜凌2018-1-12目录一、实验目的/要求 (1)一、OSPF卡在init、2-way、exstart/exchange的原因 (1)二、实验环境 (2)三、实验操作步骤 (3)五、总结 (9)一、实验目的/要求目的：1、掌握ospf故障排错2、掌握故障的解决方法要求：用实验证明OSPF卡在init、2-way、exstart/exchange的原因一、OSPF卡在init、2-way、exstart/exchange的原因1.不包含邻居路由器IDINIT状态中如果收到hello包中含有自己的routerID才会进入2-way状态，如果收到hello包中没有含有自己的routerID或收不到对方的hello包而自己可以发hello包时则会停留在INIT状态2.通过修改优先级为0对于MA网络，是要选举DR，BDR的，如果把优先级优先级都设为0，那么会停留在2-way状态3.通过修改MTU值MTU的值是从DBD报文交互开始的，也是在DBD报文交互结束，而DBD报文交互的在这个阶段原本要选举主从关系，我们通过修改MTU值，使得无法选举主从关系停留在exstart/exstart，或者exstart/exchange接下来实验证明！！！请继续往下看！！！二、实验环境使用GNS3模拟器搭建平台如图所示：两台路由器（IOS (tm) 3600 Software (C3660-IK9O3S-M), Version 12.2(40a)）接口ip分配如图所示：R1 R2Fa0/0:12.12.12.1/24 Fa0/0:12.12.12.2/24三、实验操作步骤实验1. 通过访问控制列表（ACL）INIT状态中如果收到hello包中含有自己的routerID才会进入2-way状态，如果收到hello包中没有含有自己的routerID则会停留在INIT状态，我们通过ACL（访问控制列表）和验证实现这个现象在R1上配置访问控制列表拒绝hello包分组流量通过，将R1上运行ospf的接口加入到控制列表组100中R1(config)#int fa0/0R1(config-if)#ip access-group 100 in //将接口加入到访问控制列表组当中R1(config)#access-list 100 permit ip any 12.12.12.0 0.0.0.255 //仅允许目的为12.12.12.0网段的接口地址流量通过，使用show ip ospf nei查看邻居，看不到R2了。

OSPF-工作过程2011-08-19 09:41:06 我来说两句收藏我要投稿1、状态机的变化过程：(1) OSPF路由器接口up，发送Hello包，（NBMA模式时将进入Attempt状态）。

(2) OSPF路由器接口收到Hello包，检查Hello中携带的参数，如果匹配，进入Init状态；并将该Hello包的发送者的Router ID，添加到Hello包（自己将要从该接口发送出去的Hello 包）的邻居列表中。

(3) OSPF路由器接口收到邻居列表中含有自己Router ID的Hello包，进入Two-way状态，形成OSPF邻居关系，并把该路由器的Router ID添加到自己的OSPF邻居表中。

(4) 在进入Two-way状态后，广播、非广播网络类型的链路，在DR选举等待时间内进行DR 选举。

点对点没有这个过程。

(5) 在DR选举完成或跳过DR选举后，建立OSPF邻接关系，进入exstart（准启动）状态；并通过交换DBD交换主从路由器，由主路由器定义DBD序列号，Router ID大的为主路由器。

目的是为了解决DBD自身的可靠性。

(6) 主从路由器选举完成后，进入Exchange（交换）状态，通过交换携带lsa头部信息的DBD包描述各自的LSDB。

(7) 进入Loading状态，对链路状态数据库和收到的DBD的LSA头部进行比较，发现自己数据库中没有的LSA就发送LSR，向邻居请求该LSA；邻居收到LSR后，回应LSU；收到邻居发来的LSU，存储这些LSA到自己的链路状态数据库，并发送LSAck确认。

(8) LSA交换完成后，进入FULL状态，同一个区域内所有OSPF路由器都拥有相同链路状态数据库。

(9) 定期发送Hello包，维护邻居关系。

2、协商过程：本文出自“Esc结束” 博客OSPF协议之详细图解2012-10-10 10:31:46 我来说两句作者：xuzhiming302收藏我要投稿OSPF是一种基于SPF算法的链路状态路由协议。

Down：第一种为Down，表示了自己既没有收到任何信息也没有对外发送任何信息。

这是OSPF建立交互关系的初始化状态，在非广播性的网络环境内，OSPF路由器还可能对处于Down状态的路由器发送Hello数据包。

Attem：当自己不停的向对方发送Hello报文时我们称为Attem状态。

该状态仅在NBMA环境，例如帧中继、X.25或ATM环境中有效，表示在一定时间内没有接收到某一相邻路由器的信息，但是OSPF路由器仍必须向该相邻路由器发送Hello数据包来保持联系。

Init：当自己收到对方发来的Hello报文时，称为Init状态。

这个时候路由器自己并不知道对方是否收到了自己所发送的Hello报文。

在该状态时，OSPF路由器已经接收到相邻路由器发送来的Hello数据包，但自身的IP地址并没有出现在该Hello数据包内，也就是说，双方的双向通信还没有建立起来。

2-way ：当双方都收到了各自发送的Hello报文时我们称之为2-way状态。

这个状态可以说是建立交互方式真正的开始步骤。

在这个状态，路由器看到自身已经处于相邻路由器的Hello数据包内，双向通信已经建立。

指定路由器及备份指定路由器的选择正是在这个状态完成的。

在这个状态，OSPF路由器还可以根据其中的一个路由器是否指定路由器或是根据链路是否点对点或虚拟链路来决定是否建立交互关系。

当达到2-way这种状态后就表明了双方已经建立了通讯所具备的条件。

Exstart：接下来便进行LSDB的同步工作，也就是前面讲到的发送前两个DD报文的时候我们称为Exstart状态，实际上这种状态是非常短暂的。

这个状态是建立交互状态的第一个步骤。

在这个状态，路由器要决定用于数据交换的初始的数据库描述数据包的序列号，以保证路由器得到的永远是最新的链路状态信息。

同时，在这个状态路由器还必须决定路由器之间的主备关系，处于主控地位的路由器会向处于备份地位的路由器请求链路状态信息。

【cisco交换机安全配置设定】 cisco交换机配置教程你还在为不知道cisco交换机安全配置设定而烦恼么?接下来是为大家收集的cisco交换机安全配置设定教程，希望能帮到大家。

cisco交换机安全配置设定的方法一、交换机访问控制安全配置1、对交换机特权模式设置密码尽量采用加密和md5 hash 方式switch(config)#enable secret 5 pass_string其中 0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will follow建议不要采用enable password pass_sting密码，破解及其容易!2、设置对交换机明文密码自动进行加密隐藏switch(config)#service password-encryption3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户switch(config)#enable secret level 7 5pass_string7 /7级用户进入特权模式的密码switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码switch(config)#username userA privilege 7 secret 5 pass_userAswitch(config)#username userB privilege 15 secret 5 pass_userB/为7级，15级用户设置用户名和密码，Ciscoprivilege level分为0-15级，级别越高权限越大switch(config)#privilege exec level 7 commands /为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义4、本地console口访问安全配置switch(config)#line console 0switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见设置登录console口进行密码验证方式(1):本地认证switch(config-line)#password 7 pass_sting /设置加密密码switch(config-line)#login /启用登录验证方式(2):本地AAA认证switch(config)#aaa new-model /启用AAA认证switch(config)#aaa authentication login console-in group acsserver local enable/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码switch(config)#line console 0switch(config-line)# login authentication console-in /调用authentication设置的console-in列表5、远程vty访问控制安全配置switch(config)#access-list 18 permit host x.x.x.x /设置标准访问控制列表定义可远程访问的PC主机switch(config)#aaa authentication login vty-in group acsserver local enable/设置认证列表vty-in, 优先依次为ACS Server，local 用户名和密码，enable特权密码switch(config)#aaa authorization commands 7 vty-in group acsserver local if-authenticated/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#aaa authorization commands 15 vty-in group acsserver local if-authenticated/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权switch(config)#line vty 0 15switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-inswitch(config-line)#authorization commands 15 vty-inswitch(config-line)#logging synchronous /强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见switch(config-line)#login authentication vty-in /调用authentication设置的vty-in列表switch(config-line)#transport input ssh /有Telnet 协议不安全，仅允许通过ssh协议进行远程登录管理6、AAA安全配置switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名switch(config-sg-tacacs+)#server x.x.x.x /设置AAA 服务器组成员服务器ipswitch(config-sg-tacacs+)#server x.x.x.xswitch(config-sg-tacacs+)#exitswitch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥二、交换机网络服务安全配置禁用不需要的各种服务协议switch(config)#no service padswitch(config)#no service fingerswitch(config)#no service tcp-small-serversswitch(config)#no service udp-small-serversswitch(config)#no service configswitch(config)#no service ftpswitch(config)#no ip http serverswitch(config)#no ip http secure-server/关闭http,https远程web管理服务，默认cisco交换机是启用的三、交换机防攻击安全加固配置MAC Flooding(泛洪)和Spoofing(欺骗)攻击预防方法：有效配置交换机port-securitySTP攻击预防方法：有效配置root guard,bpduguard,bpdufilter VLAN，DTP攻击预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为accessDHCP攻击预防方法：设置dhcp snoopingARP攻击预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下switch(config)#int gi x/x/xswitch(config-if)#sw mode trunkswitch(config-if)#sw trunk encaps dot1qswitch(config-if)#sw trunk allowed vlan x-xswitch(config-if)#spanning-tree guard loop/启用环路保护功能，启用loop guard时自动关闭root guard接终端用户的端口上设定switch(config)#int gi x/x/xswitch(config-if)#spanning-tree portfast/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。