HCIP的学习（10）

限制规则：

• 非骨干区域之间不允许直接相互发布区域间路由信息
• OSPF区域水平分割：从非骨干区域收到的路由信息，ABR设备能接收到不能使用（从某区域传出的路由，不能回归到某区域）

不规则区域：

• 远离骨干区域的非骨干
• 不连续的骨干区域

​ 由于网络升级、合并、割接等操作；或者因为网络单点故障原因，导致网络出现不规则区域划分，从而导致网络出现数据通讯障碍问题。

​ 最根本的解决方案：修改OSPF规划和配置，使得整个OSPF域满足区域划分要求。

解决方案

第一种解决方式，使用tunnel隧道

​ 在R2和R3之间构建一个GRE隧道，将该隧道宣告进骨干区域，实现将R3设备变为ABR设备。

​ 使用该方式的问题：

• 可以产生选路不佳。
• 会造成重复更新
• 因为虚拟链路的存在，R2和R3之间需要建立邻居。导致在维护邻居时使用的hello报文消耗中间区域资源。

第二种解决方案，虚链路—Vlink

​ 思路：使用一个合法的ABR设备为伪ABR设备进行授权，授予其可以执行ABR功能的权限。

[r2-ospf-1-area-0.0.0.1]vlink-peer 3.3.3.3

[r3-ospf-1-area-0.0.0.1]vlink-peer 2.2.2.2

​ 注意：需要在穿越的区域中进行配置，并且配置的是RID值，而非邻居IP地址。

​ 虚链路的配置条件：只能穿越一个区域。原因在于配置时使用的时RID，而RID值只能通过TOPO信息寻找，而跨区域时无法找到相应RID值，故数据无法传输。

​ Vlink被视作为骨干区域的一段延伸（Vlink永远属于Area 0）

​ 使用该种方式的问题：

• 虚链路只能穿越一个区域。
• 虚链路的两端节点需要通过hello报文进行维护，导致需要周期性发送数据，从而消耗被穿越区域的资源。

​ Vlink不能在骨干区域进行配置。

​ Vlink不仅仅应用在解决不规则区域，还可以修复一些次优路径或者骨干区域不健壮问题。Vlink还可以解决没有骨干区域的场景（例：四台路由，之间分别是区域1、2、3，可以在区域2内两台路由加一个Vlink）。

​ 当Vlink两端节点选择不当时，可能会引发环路问题。

​ 骨干链路单点故障（如果R1与R2之间的物理链路断开，会变成两个骨干区域）

可以在R3与R4之间建立Vlink，就会变成一个骨干区域

有影响的是：

如果不在R3与R4之间建立Vlink，R4向13.0.0.3发送信息会走R2-R1-R3，但建立了Vlink，会走34.0.0.3

可以用[r4]tracert 13.0,0,3 —路径跟踪 来查看

Vlink环路问题

如果ping 5.5.5.5 会失败，因为，R1-R2-R3之间会形成环路，例：从R1去Ping5.5.5.5，R1的下一跳为R2，R2的下一跳为R3，R3的下一跳为R1，原因是，建立Vlink时，R4将R5的路由信息依据Vlink走R3发送给R2，其中经过R3时，R3是ABR设备，看不是骨干区域发来的信息就丢弃，不学习，R2因为建立了Vlink，所以学习后将路由信息发送给R1和R3，R3再次检查发现不是骨干区域的信息，再次丢弃，最后R1接收后转发给R3，R3检查后发现是骨干区域的信息，学习下来。

解决方法：

不在R4与R2之间配置Vlink，在R4与R3之间配置Vlink，路径就是R5-R4-R1-R2。

OSPF是一个无环的路由协议，指的是通过SPF算法计算出来的路由无环，即在区域内部无环，区域间可能会有环路

​ 环路：如果R2做了汇总（只有ABR设备才可以汇总拓扑明细），且汇总结果为10.0.0.0/8。将该汇总路由发送给Area 1，而R4设备从Area 1接收该汇总路由时，仅接收不使用（OSPF区域水平分割原理）。但是R4会接收通过Vlink链路传递来的Area 0区域的所有拓扑信息，从而生成路由信息。为了减少Area 2区域的路由信息，故R4也需要进行汇总操作，汇总结果为10.1.0.0/16。----->R2和R4汇总的路由均传递给R3，而因为最大掩码匹配规则，R3选择R4传递的路由，而R4真实数据传递的吓一跳为R3，导致R4<–>R3环路产生。

​ 解决方案：OSPF规定，vlink所在的非骨干区域，不能传递聚合路由。也就是说，ABR设备不能向配置了Vlink链路的区域传递聚合路由信息。

第三种解决方式，多进程双向重发布----->网络中最常用的方式。

​ 将R3设备运行在不同的路由区域，这种设备会被称为是ASBR设备。

​ 重发布是在运行了不同协议或不同进程的边界设备（ASBR）上，将一种协议按照另一种协议的规则发布出去。

[r3-ospf-1-area-0.0.0.2]undo network 34.0.0.3 0.0.0.0

最后

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点！真正的体系化！

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

基本涵盖了95%以上网络安全知识点！真正的体系化！**

如果你觉得这些内容对你有帮助，需要这份全套学习资料的朋友可以戳我获取！！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！