《高級路由技術（理論篇）》-教學PPT4：優(yōu)化OSPF動態(tài)路由技術

單元4：優(yōu)化OSPF路由傳輸技術《高級路由技術》(理論篇）主講教師：XXX技術背景隨著園區(qū)網的規(guī)劃擴大，接入網絡中的設備增多，使用基于鏈路狀態(tài)路由算法的OSPF路由協(xié)議對設備要求的系統(tǒng)開銷較大，運行OSPF路由協(xié)議的設備上的路由計算開銷也會增加，嚴重地影響網絡傳輸效率。通過劃分OSPF區(qū)域、路由匯總、更改網絡類型等多項OSPF路由優(yōu)化技術，來減少LSA通告泛洪的范圍，優(yōu)化路由表，構建一個穩(wěn)定可靠園區(qū)網。學習目標了解園區(qū)中OSPF路由優(yōu)化技術應用路由技術優(yōu)化OSPF網絡傳輸。4.1了解LSA報文類型LSage：老化時間，指從發(fā)出LSA后所經歷時間，以秒為單位。Options：標志位，標識了OSPF網絡提供各種可選服務。LStype：LS類型，指出5種LSA類型中一種。LinkStateID：鏈路狀態(tài)ID，指明LSA描述特定網絡區(qū)域。AdvertisingRouter：通告路由器。LSsequencenumber：LSA序列號，當LSA有新報文產生時，這個序列號就加1。路由器通過比對序列號識別最新LSA報文信息。序列號越大越新。LSChecksum：LS校驗和檢查LSA在傳輸?shù)侥康牡氐倪^程中是否受到破壞。Length：通知接收方LSA長度（字節(jié)）。每個LSA通告具有三個共同的特征：LSA的傳播范圍、LSA由誰通告、LSA包含的內容。4.1LSA類型1類LSA是路由器LSA（RouterLSA）。每臺路由器都生成本地鏈路上的1類LSA通告，描述每臺路由器連接區(qū)域、接口狀態(tài)和開銷。每臺路由器都產生一個1類LSA通告，列出路由器所有鏈路或接口，指明它們的狀態(tài)，沿每條鏈路方向出站代價，該鏈路上所有OSPF鄰居。另外，1類LSA也指出路由器是ABR還是ASBR路由器。4.1.11類LSA：RouterLSA4.1LSA類型在廣播型的多路訪問網絡環(huán)境中，為減少網絡中路由器之間廣播，會選舉DR/BDR，所有Drother路由器只能和DR及BDR建立鄰接關系。2類LSA僅存在多路訪問網絡中，由DR發(fā)送，描述多路訪問網絡上一組路由器，包括鏈接的鏈路狀態(tài)ID等。2類LSA也只在本區(qū)域內泛洪，傳播廣播型的多路訪問網絡中所有路由器信息。4.1.22類LSA：NetworkLSA4.1LSA類型3類LSA是網絡匯總LSA（NetworkSummaryLSA）由區(qū)域的邊界路由器ABR上生成。3類LSA描述了區(qū)域外部路由信息。網絡匯總LSA也就是某一區(qū)域內收到3類LSA，都是該區(qū)域ABR生成。這里匯總，和路由匯總是不同概念。4.1.33類LSA：NetworkSummaryLSA4.1LSA類型ABR路由器在OSPF網絡中通告3類LSA，將一個區(qū)域內的鏈路信息通告給其他區(qū)域。由于ABR邊界路由器同時連接兩個以上區(qū)域（其中必須有骨干區(qū)域），熟悉不同區(qū)域內1類LSA、2類LSA。邊界路由器ABR將某個區(qū)域內的1類LSA或2類LSA歸納，生成3類LSA。然后，泛洪到其他區(qū)域，解決區(qū)域之間路由計算。4.1.33類LSA：NetworkSummaryLSA4.1LSA類型OSPF使用路由重發(fā)布技術，將外部路由注入OSPF中。自治域外部路由通過自治域邊界路由器（ASBR）重發(fā)布進OSPF，產生5類LSA。5類LSA在整個OSPF域泛洪（除Stub區(qū)域）。如圖域邊界路由器（ASBR）通過路由重發(fā)布，將5.5.5.0/24這條RIPV2路由重發(fā)布進OSPF。作為ASBR路由器的R5產生描述外部路由的5類LSA，描述這條外部路由5.5.5.0/24信息，其鏈路狀態(tài)ID為外部網絡網絡地址。4.1.45類LSA：ASExternalLSA4.1LSA類型ASBR將外部路由信息通過重發(fā)布方式注入到OSPF域中。4類LSA描述ASBR位置，使用哪個出ASBR。在ASBR直連區(qū)域內，不產生4類LSA。ASBR發(fā)出1類LSA，指明自己是ASBR。如果生成4類的LSA，需要同時具備三個條件，才能實現(xiàn)OSPF內部路由器，了解外部非OSPF路由。4.1.54類LSA：ASBR匯總LSA4.1LSA類型4類LSA是指向ASBR的LSA通告，由ABR產生。ASBR和ABR在同一區(qū)域，通過ASBR路由器產生1類LSA，知道該ASBR位置。1類LSA泛洪范國本區(qū)域內，該區(qū)域外路由器如何得知這臺ASBR位置？需要借助4類LSA。4.1.54類LSA：ASBR匯總LSA4.1LSA類型7類LSA是一種特殊LSA，這是一種描述外部路由的LSA，只能在NSSA特殊區(qū)域泛洪，不能跨越NSSA區(qū)域，進入OSPF常規(guī)區(qū)域。在特殊區(qū)域NSSA中，能阻擋5類LSA進入骨干區(qū)域（Area0）。同時，允許NSSA區(qū)域中本地始發(fā)的、外部路由以7類LSA通告形式，在NSSA中泛洪。當7類LSA到達NSSA區(qū)域ABR路由器，由ABR路由器將7類LSA轉換成5類LSA，傳輸?shù)焦歉蓞^(qū)域（Area0）中。將Area2區(qū)域配置為NSSA區(qū)域，自治域外部路由以7類LSA形態(tài)在區(qū)域內傳播，到達ABR邊界路由器R4時，由ABR路由器R4轉化為5類LSA，傳播到骨干區(qū)域Area0中。4.1.67類LSA：NSSAexternalLSA4.1LSA類型外部類型1也稱OE1，外部路由的路徑開銷（cost）值，為外部成本加報文經過每條鏈路內部成本。多臺ASBR路由器將連接外部路由，通告到OSPF自治域管理系統(tǒng)AS中，使用這種類型，避免OSPF網絡中發(fā)送次優(yōu)路徑。4.1.7路由表中OSPF路由類型4.1LSA類型外部類型2也OE2外部路由路徑開銷（cost）值，只包含外部成本。在OSPF網絡部署中，只有一臺ASBR時，需要將外部路由通告到OSPF區(qū)域中，使用OE2為默認OSPF網絡外部路由類型。使用OE2表示外部路由，用方括號標識兩個數(shù)字[110/20]，分別是前往目標網絡管理距離和總成本。當本地網絡接收到多條。按如下順序，比較不同Metric值，實現(xiàn)優(yōu)選。首先比較外部LSA攜帶Metric，優(yōu)選值小外部LSA。如果外部LSA攜帶Metric值相同，則比校本地到達通告每條LSA的ASBR/FA地址的Metric，優(yōu)選值小。最后，如果本地通告每條LSA中的Metric值相同，則產生路由負載均衡。4.1.7路由表中OSPF路由類型4.2配置OSPF路由匯總隨著OSPF規(guī)模越來越大，路由表規(guī)模也逐漸變大，路由的查詢需要消耗設備資源，就需要在保證路由暢通同時，減小路由表規(guī)模，路由匯總就是一個有效手段。路由匯總又稱為路由聚合（RouteAggregationorRouteSummarization），把一組路由匯聚成一條路由條目。匯聚前路由稱明細路由。4.2.1OSPF路由匯總4.2配置OSPF路由匯總區(qū)域之間路由匯總在ABR進行，針對區(qū)域內路由匯聚。匯總不能使用路由重分發(fā)，不能把外部自治域中路由導入到OSPF。實現(xiàn)OSPF區(qū)域間路由匯總，需要保證區(qū)域內網絡號連續(xù)，最大限度減少匯總后路由數(shù)量。4.2.1OSPF路由匯總4.2配置OSPF路由匯總4.2.2OSFP路由匯總命令4.3OSPF特殊區(qū)域Area1區(qū)域作為二級支行網絡，是整個銀行網絡“末節(jié)＂網絡，沒必要知道其它支行外部路由，只需要有一條路由到達域外即可。為了優(yōu)化非骨干區(qū)域OSPF路由傳輸，一種特殊末節(jié)區(qū)域stubarea技術應運而生。把Area1區(qū)域配置為OSPF網絡“末節(jié)＂網絡，優(yōu)化OSPF網絡部署。4.3.1OSPF特殊區(qū)域4.3OSPF特殊區(qū)域將常規(guī)區(qū)域配置為末節(jié)區(qū)域(Stubarea)，來自外部網絡中LSA不會擴散到末節(jié)區(qū)域，縮小區(qū)域內LSDB數(shù)據(jù)庫，降低路由器消耗。在末節(jié)區(qū)域中，使用默認路由（0.0.0.0）指引數(shù)據(jù)包前往OSPF路由域外網絡，該默認路由通過末節(jié)區(qū)域ABR路由器生成。4.3.2配置Stub區(qū)域4.3OSPF特殊區(qū)域通過配置完全末節(jié)區(qū)域（Totallystubarea），區(qū)域內的路由器收到的LSA將進一步減少。區(qū)域內部進行LSA及SPF算法運算耗費也減少，增強網絡的可擴展性。當區(qū)域外拓撲出現(xiàn)變更時，對本區(qū)域的影響也將變?yōu)樽钚?。外部LSA以及3類LSA和4類LSA，都不能傳播到完全末節(jié)區(qū)域（Totallystubarea）中。在完全末節(jié)區(qū)域（Totallystubarea）中只有區(qū)域內路由和默認路由，通過區(qū)域ABR將默認路由0.0.0.0通告到區(qū)域中。4.3.3配置絕對末節(jié)區(qū)域4.3OSPF特殊區(qū)域與配置Stub區(qū)域類似，不可以將骨干區(qū)域Area0配置為Totallystubarea。如果配置一個區(qū)域為Totallystubarea，也不能在區(qū)域路由器上做路由重發(fā)布。完全末節(jié)區(qū)域（Totallystubarea）是最受限制、特殊區(qū)域類型。區(qū)域路由器僅僅依靠域邊界路由器ABR，生成一條默認路由，實現(xiàn)全網絡連通。4.3.3配置絕對末節(jié)區(qū)域4.3OSPF特殊區(qū)域將某些區(qū)域配為Stub區(qū)域，阻擋來自其他區(qū)域4類LSA、5類LSA傳播；同時，區(qū)域內的路由器禁止重發(fā)布外部路由。如果還期望該區(qū)域保留“阻擋其他區(qū)域的4類LSA、5類LSA”，還允許在區(qū)域本地發(fā)布路由，如何解決？OSPF路由進一步優(yōu)化Stub區(qū)域，規(guī)劃了NSSA（not-so-stubby-area）區(qū)域解決。4.3.4配置NSSA區(qū)域4.4配置OSPF虛鏈路在OSPF規(guī)劃中，所有常規(guī)區(qū)域必須與骨干區(qū)域相連。因為常規(guī)區(qū)域只能和骨干區(qū)域交換LSA；常規(guī)區(qū)域之間即使直連，也無法互換LSA通告，這樣，便無法學習到其它區(qū)域的路由。4.4.1OSPF虛鏈路技術4.4配置OSPF虛鏈路為解決某些特殊常規(guī)區(qū)域不能連接到骨干區(qū)域問題，使用虛擬鏈路技術讓不能直接與骨干區(qū)域相連區(qū)域，最終與骨干區(qū)域直連，這種虛擬擴展技術就是OSPF的虛鏈路（VirtualLink）。4.4.1OSPF虛鏈路技術4.4配置OSPF虛鏈路虛鏈路連接（Virtual-link）是在兩臺邊界路由器ABR之間，創(chuàng)建了一個常規(guī)區(qū)域，借助虛擬邏輯通道，實現(xiàn)常規(guī)區(qū)域之間邏輯連接（常規(guī)區(qū)域之間不通）。這里“邏輯通道”指在兩臺ABR路由器之間，建立LSA報文轉發(fā)通道。虛鏈路提供一條從末梢的常規(guī)區(qū)域到骨干區(qū)域邏輯鏈路。4.4.1OSPF虛鏈路技術4.4配置OSPF虛鏈路虛鏈路在兩臺ABR路由器之間創(chuàng)建一條無編址的邏輯鏈路，這些ABR路由器之間雖然沒有物理鏈路相連，但建立虛擬鄰居關系。在OSPF路由計算中，通過虛鏈路傳輸路由信息，作為域內路由來看待，即兩臺ABR之間直接傳遞路由（ABR生成3類LSA），區(qū)域內路由器同步方式也沒有改變。4.4.1OSPF虛鏈路技術4.4配置OSPF虛鏈路Area2與Area1直連，無法與骨干區(qū)域直連。R3雖是區(qū)域邊界路由器，但沒有連接骨干區(qū)域，不能將任何區(qū)域LSA通告?zhèn)鬟f進Area2，導致Area2無法與其它區(qū)域通信。4.4.1OSPF虛鏈路技術4.4配置OSPF虛鏈路4.4.2配置OSPF虛鏈路4.5配置OSPF認證4.5.1了解OSPF認證OSPF支持三種報文認證方式：空認證（NullAuthentication）、簡單密碼身份明文認證（SimpleAuthentication）及密文認證（CryptographicAuthentication）?？丈矸菡J證：類型0（type0），默認模式，報頭中不包含身份認證秘鑰信息。簡單密碼身份明文認證：類型1（type1），明文身份認證，使用簡單明文口令。密文認證：類型2（type2），MD5身份認證，使用MD5加密口令。4.5配置OSPF認證4.5.1了解OSPF認證OSPF支持三種報文認證：空認證（NullAuthentication）、簡單密碼身份明文認證（SimpleAuthentication）及密文認證（CryptographicAuthentication）。默認情況下，OSPF使用身份認證方法NULL，即不對路由信息進行認證。通過開啟鄰居安全認證，則相同網段上所有對等路由器使用相同口令和身份認證方法。在部署OSPF安全中，在鏈路上進行，也可以在整個區(qū)域內進行認證。另外，虛鏈路同樣也可以進行認證。4.5配置OSPF認證4.5.2OSPF明文認證當OSPF區(qū)域中設備不支持MD5身份安全認證，使用明文身份認證。明文認證將密碼以明文形式，包含在OSPF報頭中傳輸，使OSPF網絡容易受到“嗅探器攻擊”。受到這種攻擊時，數(shù)據(jù)包會被協(xié)議分析程序捕獲而讀取口令，導致網絡安全性不夠。在某個接口上開啟OSPF報文安全認證，也可以在一個區(qū)域中開啟。當在一個區(qū)域中開啟認證功能時，屬于該區(qū)域中OSPF路由器上所有接口均開啟認證。無論認證在哪里開啟，最終都是基于接口運作。4.5配置OSPF認證4.5.4OSPF密文認證MD5算法基于每一個O