OSPF报文类型及描述 1.Hello报文描述：用于发现直连链路上的OSPF邻居，以及维护OSPF邻居关系；2.DD (Database Description，数据库描述)报文描述：用于描述LSDB，该报文中携带的是LSDB中LSA的头部数据，（也就是并非完整的LSA内容，仅仅是头部数据）；3.LSR(Link State Request，链路状态请求)报文描述：用于向OSPF邻居请求LSA；4.LSU(Link State Update，链路状态更新)报文描述：用于发送LSA，该报文中携带的是完整的LSA数据。LSA是承载在LSU中进行泛洪的；5.LSAck(Link State Acknowledgment，链路状态确认)报文描述：设备收到LSU后，LSAck用于对接收的LSA进行确认。

H3C路由器使用ACL禁止外网Telnet和SSH H3C-MSR系列路由器开局默认允许外网telnet和web管理，经过对大部分企业专线IP段扫描，发现大部分使用H3C路由器作为出口网关的中小企业，并未在出口路由器上配置ACL策略以屏蔽远程管理端口。由于大部分运营商已在上层路由屏蔽非IDC机房IP段的80,8080,445端口，所以只需在路由器上做ACL禁止外网或者仅允许指定IP进行Telnet和SSH。MSR系列大部分无法从WEB界面配置ACL，需要在命令行下进行配置。以下两种方法可达到禁止外网管理的目的。假设管理员vlan的IP段是172.31.255.0/24，ACL配置如下system-view[H3C]acl num 2100 [H3C-acl-basic-2100]rule 10 permit source 172.31.255.0 0.0.0.255[H3C-acl-basic-2100]rule 100 deny[H3C-acl-basic-2100]quit[H3C]user-interface vty 0 4[H3C-ui-vty-0-4]acl 2100 inbound[H3C-ui-vty-0-4]quit此方法可以禁止外网telnet或者ssh，但是从外网仍然可以扫描到主机开放的22,23端口，系统会产生大量来自世界各国的IP登录失败的日志。方法二：使用高级ACL来阻断外网的请求，假设企业出口固定IP为1.1.1.1system-view[H3C]acl num 3100[H3C-acl-adv-3100]rule 10 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 23[H3C-acl-adv-3100]rule 11 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 22[H3C-acl-adv-3100]rule 100 deny tcp destination 1.1.1.1 0 destination-port eq 23[H3C-acl-adv-3100]rule 110 deny tcp destination 1.1.1.1 0 destination-port eq 22[H3C-acl-adv-3100]quit[H3C]interface g0/0 #假设WAN口是GE0/0[H3C-GigabitEthernet0/0] acl 3100 inbound[H3C-GigabitEthernet0/0]quit[H3C]firewall enable[H3C]save方法二使用高级ACL可以完全阻断来自外网的telnet、ssh请求，可以使黑客无法扫描到端口。