前言
本篇文章为OSPF协议的最后一篇文章,主要介绍OSPF的一些其他特性以及路由汇总配置。
路由汇总
在大规模部署OSPF网络时,可能会出现由于OSPF路由表规模过大而降低路由查找速度的现象,为了解决这个问题,可以配置路由汇总,减小路由表的规模。
区域间汇总
如图所示,Area 1中存在8个连续网段,汇总前RTB将产生8条三类LSA。在RTB上配置汇总后,RTB仅产生1条三类LSA并泛洪到Area 0。
规划网段,并配置路由器各个接口IP地址。
这里举例LoopBack接口配置:
interface LoopBack0
ip address 172.16.0.1 255.255.255.0
配置OSPF
以AR2举例:
[AR2-ospf-1]
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]network 172.16.8.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.1]a 0
[AR2-ospf-1-area-0.0.0.0]network 172.16.9.0 0.0.0.255
注意AR1的9条路由可一起宣告:(其实其他路由器也可)
[AR1-ospf-1]a 1
[AR1-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255
查看AR2上的三类LSA:
发现有非常多。
也可用display ospf lsdb summary
只查看三类LSA
[AR2-ospf-1-area-0.0.0.1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.8.2
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 318 36 80000005 1
Router 172.16.9.3 172.16.9.3 319 48 80000009 1
Router 172.16.8.2 172.16.8.2 383 36 80000005 1
Network 172.16.10.4 172.16.10.4 319 32 80000003 0
Network 172.16.9.3 172.16.9.3 380 32 80000003 0
Sum-Net 172.16.3.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.2.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.1.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.0.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.7.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.6.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.5.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.4.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.8.0 172.16.8.2 11 28 80000001 1
Area: 0.0.0.1
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.8.2 172.16.8.2 438 36 80000007 1
Router 172.16.8.1 172.16.8.1 1114 132 80000009 1
Network 172.16.8.2 172.16.8.2 439 32 80000003 0
Sum-Net 172.16.10.0 172.16.8.2 318 28 80000003 2
Sum-Net 172.16.9.0 172.16.8.2 433 28 80000002 1
做区域间路由汇总:
[AR2-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.0.0
再次查看AR2上的三类LSA
发现在Area 0三类LSA进行了汇总:Sum-Net 172.16.0.0 172.16.8.2 5 28 80000001 1
[AR2-ospf-1-area-0.0.0.1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.8.2
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 465 36 80000005 1
Router 172.16.9.3 172.16.9.3 466 48 80000009 1
Router 172.16.8.2 172.16.8.2 530 36 80000005 1
Network 172.16.10.4 172.16.10.4 466 32 80000003 0
Network 172.16.9.3 172.16.9.3 527 32 80000003 0
Sum-Net 172.16.0.0 172.16.8.2 5 28 80000001 1
Area: 0.0.0.1
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.8.2 172.16.8.2 585 36 80000007 1
Router 172.16.8.1 172.16.8.1 1261 132 80000009 1
Network 172.16.8.2 172.16.8.2 586 32 80000003 0
Sum-Net 172.16.10.0 172.16.8.2 465 28 80000003 2
Sum-Net 172.16.9.0 172.16.8.2 580 28 80000002 1
外部路由汇总
如图所示,Area 0中RTA将2个连续的外部路由引入到OSPF域内,产生2条五类LSA并在OSPF进程域内泛洪。
在原有拓扑上添加外部路由,并添加IP地址。
注意外部路由引入
[AR5-rip-1]import-route ospf
[AR3-ospf-1]import-route rip
详细配置信息可见OSPF(五)OSPF外部路由
查看AR3的LSDB
发现有两条外部路由:
External 172.17.0.0 172.16.9.3 104 36 80000001 1
External 172.17.1.0 172.16.9.3 104 36 80000001 1
[AR3-ospf-1-area-0.0.0.0]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.9.3
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 1046 36 80000005 1
Router 172.16.9.3 172.16.9.3 104 60 8000000D 1
Router 172.16.8.2 172.16.8.2 1113 36 80000005 1
Router 172.16.11.5 172.16.11.5 134 36 80000005 1
Network 172.16.10.4 172.16.10.4 1047 32 80000003 0
Network 172.16.9.3 172.16.9.3 1108 32 80000003 0
Network 172.16.11.5 172.16.11.5 134 32 80000002 0
Sum-Net 172.16.0.0 172.16.8.2 588 28 80000001 1
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 172.17.0.0 172.16.9.3 104 36 80000001 1
External 172.17.1.0 172.16.9.3 104 36 80000001 1
External 172.16.10.0 172.16.9.3 104 36 80000001 1
External 172.16.11.0 172.16.9.3 104 36 80000001 1
External 172.16.9.0 172.16.9.3 104 36 80000001 1
在ASBR配置外部路由汇总
[AR3-ospf-1]asbr-summary 172.17.0.0 255.255.0.0
再次查看AR3的LSDB
发现汇总成一条外部路由:
External 172.17.0.0 172.16.9.3 16 36 80000002 2
[AR3-ospf-1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.9.3
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 1105 36 80000005 1
Router 172.16.9.3 172.16.9.3 163 60 8000000D 1
Router 172.16.8.2 172.16.8.2 1172 36 80000005 1
Router 172.16.11.5 172.16.11.5 193 36 80000005 1
Network 172.16.10.4 172.16.10.4 1106 32 80000003 0
Network 172.16.9.3 172.16.9.3 1167 32 80000003 0
Network 172.16.11.5 172.16.11.5 193 32 80000002 0
Sum-Net 172.16.0.0 172.16.8.2 647 28 80000001 1
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 172.17.0.0 172.16.9.3 16 36 80000002 2
External 172.16.10.0 172.16.9.3 163 36 80000001 1
External 172.16.11.0 172.16.9.3 163 36 80000001 1
External 172.16.9.0 172.16.9.3 163 36 80000001 1
OSPF更新机制
- 为了保证路由计算的准确性,需要保证LSA的可靠性。OSPF为每个LSA条目维持一个老化计时器(3600s),当计时器超时,此LSA将从LSDB中删除。
- 为了防止LSA条目达到最大生存时间而被删除,OSPF通过定期更新(每1800s刷新一次)机制来刷新LSA。OSPF路由器每1800s会重新生成LSA,并通告给其他路由器。
- 为了加快收敛速度,OSPF设置了触发更新机制。当链路状态发生变化后,路由器立即发送更新消息,其他路由器收到更新消息后立即进行路由计算,快速完成收敛。
OSPF认证机制
安全隐患
如图所示,内部网络通过OSPF协议传递路由。正常情况下,财务部访问公司数据库的流量走向是“财务部->RTA->RTB->Database”。
非法设备接入公司内网,通过向网络中注入非法路由,引导流量进行非正常的转发。即“财务部->RTA->非法设备->RTB->Database”。非法设备收到财务部的流量之后,进行恶意分析,获取财务部关键信息,造成公司机密泄露。
认证解决安全隐患
OSPF支持认证功能,只有通过认证的OSPF路由器才能正常建立邻居关系,交互信息。
两种认证方式:
1. 区域认证方式。
2. 接口认证方式。
当两种认证方式都存在时,优先使用接口认证方式。
支持的认证模式分为null(不认证)、simple(明文)、MD5以及HMAC-MD5。