文章目录
1.路由汇总
1.1 在ABR上部署路由汇总
例如在Area 1的ABR-GS-R1上,对Area 1内的路由进行汇总,将站点1内的明细路由汇总成192.168.0.0/19并只将这条汇总路由通告到Area 0,这样Area 0内的CO以及GS-R2将只会学习到这条汇总路由,而不会学习到站点1内的明细路由。
缺省时,汇总路由的Cost值等于被汇总的明细路由的Cost值中最大的那个。
1.2 在ASBR上部署路由汇总
原理和ABR汇总一样,不同的是如果被汇总的明细路由的度量值类型为Metric-Type-2,那么汇总路由的Cost等于明细路由的Cost 中的最大值加1.
2.Virtual Link
OSPF Virtual Link(虚链路)是一种虚拟的、逻辑的链路,被部署在两台OSPF路由器之间,它穿越某个非骨干区域,用于实现另一个非骨干区域与Areao的连接。Virtual Link被视为Areao的一段延伸,当我们在两台路由器上穿越一个非骨干区域建立虚链路后,这两·台路由器即开始在这条Virtual Link上尝试建立邻接关系,当基于Virtual Link的邻接关系建立起来后, Virtual Link两端的路由器会在其产生的Type-1 LSA中描述这条Virtual Link,在Type-1 LSA中, Virtual Link采用类型4的Link来描述。需要强调的是, VirtualLink不能被部署在Stub区域内。
3.默认路由
默认路由( Default Route),也被称为缺省路由,指的是目的网络地址及网络掩码都为0的路由,通常是作为路由器的“最后求助对象”,当去往某个目的网络找不到匹配的具体路由时,如果设备的路由表中存在默认路由,那么该设备将使用默认路由来转发数据。
3.1 在常规区域中发布默认路由
缺省情况下,常规区域中的路由器是不会发布OSPF默认路由的,即使它的路由表·中存在一条默认路由(该默认路由可能是路由器通过其他协议发现的,例如RIP等),也需要通过相应的配置才能使得路由器将默认路由发布到OSPF网络中。
OSPF定义了专门的命令用于引入默认路由,譬如现在要在OR上,将默认路由引入OSPF,则OR的配置如下:Default-route-advertise cost 10 type 2
Default-route-advertise cost 10 type 2这条命令用于向OSPF域发布一条默认路由,这条默认路由采用Type-5 LSA来描述,因此实际上是一条外部路由。在该命令中, cost 关键字用于指定该默认路由的cost值, type关键字用于指定路由的Metric-Type,需要强调的是使用这种方式向OSPF发布默认路由的前提是OR的路由表中必须已经存在一条默认路由,这条默认路由可以是静态的,也可以是从其他动态路由协议(或者其他OSPF进程)学习到的,只有满足这个条件,默认路由才会被顺利下发到该OSPF域。如果在default-route-advertise命令中增加always关键字,则无论OR的路由表中是否已经存在默认路由,它都将始终向OSPF网络下发默认路由。
3.2 在Stub区域中发布默认路由
当一个OSPF区域被配置为Stub区域时,该区域内将不再允许Type-5 LSA进行泛洪,而该区域内部的路由器也就无法学习到OSPF域外的路由,那么这些路由器如何访问域外的网络呢?
Stub区域的ABR会自动向该区域下发一条默认路由(Type-3 LSA),这样Stub区域内的路由器就能够通过这条默认路由将访问域外的流量送达ABR,再由ABR将流量转发出去。
缺省时,这条默认路由的Cost为1,可以在这个Stub区域的ABR的OSPF区域配置视图下使用default-cost命令修改这个Cost值。
3.3 在Totally Stub区域中发布默认路由
Totally Stub区域在Stub区域的基础上进一步禁止其他区域的Type-3 LSA在该区域内泛洪,该区域内的路由器无法学习到OSPF域外的路由以及其他OSPF区域的路由, Totally Stub区域的ABR会自动向该区域发布一条默认路由(Type-3 LSA),这样一来区域内部的路由器就能够通过ABR到达其他区域以及OSPF域外。
缺省时,这条默认路由的Cost为1,可以在这个Totally Stub区域的ABR的OSPF区域配置视图下使用default-cost命令修改这个cost值。
3.4 在NSSA中发布默认路由
当一个区域被配置为NSSA时,该区域将不再允许Type-4 LSA及Type-5 LSA进入,另一方面, NSSA允许在区域本地引入少量的外部路由,这意味着NSSA内的路由器将不会学习到该区域之外引入的外部路由, NSSA的ABR会自动向该NSSA下发一条默认路由(使用Type-7 LSA描述)。
当然我们可能会面对另一种需求,就是NSSA内的路由器希望通过本区域的ASBR (R2)来下发默认路由,那么就需要手工在R2上进行相关配置。R2的关键配置如下:nssa default-route-advertise
完成配置后, R2会向NSSA中注入一条使用Type-7 LSA描述的默认路由,这条默认路由只会在NSSA内传播,不会被ABR转换成Type-5 LSA进入Area 0。值得注意的是,仅当NSSA的ASBR在自己的路由表中已经存在一条默认路由时,使用上述命令才能够向NSSA注入默认路由,否则默认路由将不会被注入。
3.5 在Totally NSSA中发布默认路由
Totally NSSA禁止Type-3, Type-4及Type-5 LSA在该区域中泛洪,同时该区域的ABR向该区域中自动下发一条默认路由 (Tуре-3 LSA), 这样NSSA的路由器可以通过这条默认路由到达其他区域或者域外的网络。
4.报文认证
OSPF支持三种类型的认证方式,分别是空认证(Null Authentication)、简单口令认证(Simple Password)、密文认证(Ctyptograhpic Authentication),这三种认证方式对应的“认证类型”字段值分别为0、1和2。
4.1 空认证
OSPF支持三种类型的认证方式,分别是空认证(Null Authentication)、简单口令认证(Simple Password)、密文认证(Ctyptograhpic Authentication),这三种认证方式对应的“认证类型”字段值分别为0、1和2。
4.2 简单口令认证
简单口令认证又被称为明文认证,一个明文的口令被包含在认证数据字段中用于认证OSPF的报文收发,因此实际上这种认证方式并不安全,只要网络环境有条件进行报文窥探,即可对捕获下来的报文做分析,攻击者就能够直接看到包含在其中的明文口令。
4.3 密文认证
与简单口令认证不同,采用密文认证时, OSPF报文中并不直接包含用于认证的明文形式的口令,而是包含一个哈希(Hash)值,这个哈希值是将用户配置的口令等内容经过MD5算法计算得到的结果。
MD5算法是一种理论上不可逆的散列算法,因此即使OSPF报文被捕获,也无法通过报文中包含的哈希值反推得到明文口令,所以这种认证方式显然要比简单口令认证更加安全。
| 字段 | 大小 | 含义 |
|---|---|---|
| Key-ID (Key-Identification) | 8比特 | 口令标识。两台直连的OSPF路由器如果都激活了报文认证,那么双方的Key-ID及口令必须一致。 |
| 认证数据长度 (Authentication Data Length) | 8比特 | 将口令经过散列算法(例如MD5)计算后得到的数据是追加在OSPF报文尾部的(不在OSPF报文头部中),它并不被当作是OSPF协议报文的一部分,所以OSPF报文头部中的“报文长度”字段所显示的值并不将认证数据纳入长度计算。 “认证数据长度”字段显示了这个认证数据的长度。 |
| 密码序列号(Cryptographic Sequence Number) | 32比特 | 一个持续保持递增的序列号,用于OSPF报文的防重放攻击。 由于这个字段的值是只增不减的,因此当收到OSPF报文的密码序列号等于或小于目前的序列号时,路由器认为此报文为重放攻击报文,于是将其丢弃。 |
5.转发地址
在OSPF的Type-5 LSA及Type-7 LSA中包含着一个特别的字段—转发地址(Forwarding Address, FA), FA的引入使得OSPF在某些特殊的场景下可以避免次优路径问题。
OSPF设计了FA字段,可解决次优路径问题。FA字段只存在于Type-5 LSA及Type-7 LSA当中,有点类似于通往外部网络的“出口(Exit)"的概念。
以Type-5 LSA为例,当一台路由器使用Type-5 LSA计算到达外部网段的路由时,它会根据Type-5LSA的链路状态ID及LSA中所包含的网络掩码进行与运算,从而得到路由的目的网络地址及掩码,此外,该路由器会检查产生这条LSA的ASBR的可达性,如果ASBR不可达,那么这条Type-5 LSA将不会用于计算路由,只有当ASBR可达时,这条LSA才被认为是有效的。
此时如果LSA中所包含的FA为0.0.0.0,则路由器认为到达目的网段的数据包应该发往该ASBR,因此它将到达ASBR的下一跳地址作为这条外部路由的下一跳;而如果FA不为0.0.0.0,则路由器认为到达目的网段的数据包应该发往这个FA(所标识的设备),因此它将在自己的OSPF路由表中查询到达这个FA的路由,如果在OSPF路由表中能够找到匹配这个FA的OSPF区域内部路由或OSPF区域间路由,则使用到达这个FA的下一跳地址作为这条外部路由的下一跳地址。如果没有符合上述条件的路由存在,那么这条Type-5 LSA将不会用于外部路由计算。
当外部路由被ASBR引入OSPF时,一般情况下用于描述这些外部路由的Type-5LSA的FA字段值被设置成0.0.0.0,然而当满足某些特定的条件时, FA字段也可以被ASBR设置成非0.0.0.0的值。
这些条件是:
引入外部路由的ASBR在其连接外部网络的接口(外部路由的出接口)上激活了OSPF;
该接口没有被配置为Silent-Interface;
该接口的网络类型为Broadcast或NBMA;
该接口的IP地址落在OSPF协议配置的network命令范围内。
当同时满足上述四个条件时, FA才允许被设置为非0.0.0.0的值,否则FA被设置为.0.0.0.0。
6.OSPF路由防环机制
OSPF与距离矢量路由协议不同,运行OSPF的路由器之间交互并不是路由信息,而是LSA,而路由的计算正是基于网络中所泛洪的各种LSA进行的,所以实际上OSPF路由的环路避免机制还得依赖于LSA相关的诸多设计。
6.1 区域内部路由的防环
依赖Type-1及Type-2 LSA,路由器能够描绘出区域内的拓扑及网段信息,从而运行SPF算法,计算出到达每个网段的最优路径,并将这些路径安装到路由表中,因此区域内的路由可以实现无环路。
6.2 区域间路由的防环
(1) OSPF要求所有的非骨干区域必须与Area 0直接相连,区域间路由需经由Area 0中转。
这个规则使得区域间的路由传递不能发生在两个非骨干区域之间,这在很大程度上,规避了区域间路由环路的发生,也使得OSPF的区域架构在逻辑上形成了一个类似星型的拓扑。
(2) ABR从非骨干区域收到的Type-3 LSA不能用于区域间路由的计算。
OSPF对ABR有着严苛的要求,区域间路由传递的关键点在于ABR对Type-3 LSA的处理。
OSPF规定, ABR在使用Type-3 LSA计算区域间的路由时,只会使用其在Area 0内所收到的Type-3 LSA进行计算,而从非骨干区域内收到的Type-3 LSA是不会用于路由计算的。这样可以有效地避免环路的发生。
(3) ABR只能将自己到达所连接区域的区域内部路由注入骨干区域(区域间路由则,不被允许) ,另外,可以将其到达所连接区域的区域内部路由及到达其他区域的区域间路由注入非骨干区域。
R3可以把描述Area 2的路由信息注入到Area 0中,同时也会把从R4生成的Type-3 LSA注入到Arae 0中。此时, R2不能够使用这些Type-3 LSA进行区域间路由计算,更不能再将描述这些路由的Type-3 LSA注入Area 0(本条规则的前半句话)。因为R2所有接口都属于Area 0。这样可以有效的防止区域间路由被倒灌回Area0.
另一方面, R3会在Area 0内发现Type-1 LSA (可能还会有Type-2 LSA),也会收到描述区域间路由的Type-3 LSA, R3可以使用这些LSA计算到达Area 0内各网段的区域内部路由,以及到达Area 1内各网段的区域间路由,并且可以将描述这些路由的Type-3 LSA注入非骨干区域–Area 2 (本条规则的后半句)。
注入是单方向的。
**(4) ABR不会将描述到达某个区域内网段路由的Type-3 LSA再注入回该区域。**
R2作为ABR生成描述Area 1的Type-3 LSA,注入到Area 0中,这些Type-3 LSA不会被发回Area 1里。R3收到R2发的Type-3 LSA后,生成新的Type-3 LSA用来向Area 2区域里的路由器描述到达Arae 1区域的路由,这个Type-3 LSA也不会发回Area 0.
(5) Type-3 LSA还设计了Down-Bit (一个特殊的比特位) ,用于在MPLS VPN环境下进行路由防环。
6.3 外部路由的防环
一台路由器使用Type-5 LSA计算出路由有两个前提,其一是要收到Type-5 LSA,其二是要知道如何到达产生这个Type-5 LSA的ASBR。
Type-5 LSA会被泛洪到整个OSPF域,表面上看,它本身并不具有什么防环的能力,但是实际上,它并不需要,因为它可以依赖Type-1 LSA. Type-2 LSA及Type-4 LSA来实现防环。
7.OSPF路由类型及优先级
它们的优先级按如下顺序排列:
区域内路由(Intra Area Route):区域内路由指的是路由器根据区域内泛洪的Type1、Type-2 LSA计算得到的路由,使用这些路由,路由器可以到达其直连区域内的网段。
区域间路由(Inter Area Route):区域间路由指的是路由器根据Type-3 LSA计算得到的路由,使用这些路由,路由器可以到达其他区域的网段。
Type1外部路由(Metric-Type-1 External Route):此处Type1外部路由指的是路由器根据Type-5 LSA (Metric-Type-1)计算出的外部路由。
Type2外部路由(Metric-Type-2 External Route):此处Type2外部路由指的是路由器根据Type-5 LSA (Metric-Type-2)计算出的外部路由。
1318
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
