《高級(jí)路由技術(shù)（理論篇）》-教學(xué)PPT4：優(yōu)化OSPF動(dòng)態(tài)路由技術(shù)

單元4：優(yōu)化OSPF路由傳輸技術(shù)《高級(jí)路由技術(shù)》(理論篇）主講教師：XXX技術(shù)背景隨著園區(qū)網(wǎng)的規(guī)劃擴(kuò)大，接入網(wǎng)絡(luò)中的設(shè)備增多，使用基于鏈路狀態(tài)路由算法的OSPF路由協(xié)議對(duì)設(shè)備要求的系統(tǒng)開(kāi)銷較大，運(yùn)行OSPF路由協(xié)議的設(shè)備上的路由計(jì)算開(kāi)銷也會(huì)增加，嚴(yán)重地影響網(wǎng)絡(luò)傳輸效率。通過(guò)劃分OSPF區(qū)域、路由匯總、更改網(wǎng)絡(luò)類型等多項(xiàng)OSPF路由優(yōu)化技術(shù)，來(lái)減少LSA通告泛洪的范圍，優(yōu)化路由表，構(gòu)建一個(gè)穩(wěn)定可靠園區(qū)網(wǎng)。學(xué)習(xí)目標(biāo)了解園區(qū)中OSPF路由優(yōu)化技術(shù)應(yīng)用路由技術(shù)優(yōu)化OSPF網(wǎng)絡(luò)傳輸。4.1了解LSA報(bào)文類型LSage：老化時(shí)間，指從發(fā)出LSA后所經(jīng)歷時(shí)間，以秒為單位。Options：標(biāo)志位，標(biāo)識(shí)了OSPF網(wǎng)絡(luò)提供各種可選服務(wù)。LStype：LS類型，指出5種LSA類型中一種。LinkStateID：鏈路狀態(tài)ID，指明LSA描述特定網(wǎng)絡(luò)區(qū)域。AdvertisingRouter：通告路由器。LSsequencenumber：LSA序列號(hào)，當(dāng)LSA有新報(bào)文產(chǎn)生時(shí)，這個(gè)序列號(hào)就加1。路由器通過(guò)比對(duì)序列號(hào)識(shí)別最新LSA報(bào)文信息。序列號(hào)越大越新。LSChecksum：LS校驗(yàn)和檢查L(zhǎng)SA在傳輸?shù)侥康牡氐倪^(guò)程中是否受到破壞。Length：通知接收方LSA長(zhǎng)度（字節(jié)）。每個(gè)LSA通告具有三個(gè)共同的特征：LSA的傳播范圍、LSA由誰(shuí)通告、LSA包含的內(nèi)容。4.1LSA類型1類LSA是路由器LSA（RouterLSA）。每臺(tái)路由器都生成本地鏈路上的1類LSA通告，描述每臺(tái)路由器連接區(qū)域、接口狀態(tài)和開(kāi)銷。每臺(tái)路由器都產(chǎn)生一個(gè)1類LSA通告，列出路由器所有鏈路或接口，指明它們的狀態(tài)，沿每條鏈路方向出站代價(jià)，該鏈路上所有OSPF鄰居。另外，1類LSA也指出路由器是ABR還是ASBR路由器。4.1.11類LSA：RouterLSA4.1LSA類型在廣播型的多路訪問(wèn)網(wǎng)絡(luò)環(huán)境中，為減少網(wǎng)絡(luò)中路由器之間廣播，會(huì)選舉DR/BDR，所有Drother路由器只能和DR及BDR建立鄰接關(guān)系。2類LSA僅存在多路訪問(wèn)網(wǎng)絡(luò)中，由DR發(fā)送，描述多路訪問(wèn)網(wǎng)絡(luò)上一組路由器，包括鏈接的鏈路狀態(tài)ID等。2類LSA也只在本區(qū)域內(nèi)泛洪，傳播廣播型的多路訪問(wèn)網(wǎng)絡(luò)中所有路由器信息。4.1.22類LSA：NetworkLSA4.1LSA類型3類LSA是網(wǎng)絡(luò)匯總LSA（NetworkSummaryLSA）由區(qū)域的邊界路由器ABR上生成。3類LSA描述了區(qū)域外部路由信息。網(wǎng)絡(luò)匯總LSA也就是某一區(qū)域內(nèi)收到3類LSA，都是該區(qū)域ABR生成。這里匯總，和路由匯總是不同概念。4.1.33類LSA：NetworkSummaryLSA4.1LSA類型ABR路由器在OSPF網(wǎng)絡(luò)中通告3類LSA，將一個(gè)區(qū)域內(nèi)的鏈路信息通告給其他區(qū)域。由于ABR邊界路由器同時(shí)連接兩個(gè)以上區(qū)域（其中必須有骨干區(qū)域），熟悉不同區(qū)域內(nèi)1類LSA、2類LSA。邊界路由器ABR將某個(gè)區(qū)域內(nèi)的1類LSA或2類LSA歸納，生成3類LSA。然后，泛洪到其他區(qū)域，解決區(qū)域之間路由計(jì)算。4.1.33類LSA：NetworkSummaryLSA4.1LSA類型OSPF使用路由重發(fā)布技術(shù)，將外部路由注入OSPF中。自治域外部路由通過(guò)自治域邊界路由器（ASBR）重發(fā)布進(jìn)OSPF，產(chǎn)生5類LSA。5類LSA在整個(gè)OSPF域泛洪（除Stub區(qū)域）。如圖域邊界路由器（ASBR）通過(guò)路由重發(fā)布，將5.5.5.0/24這條RIPV2路由重發(fā)布進(jìn)OSPF。作為ASBR路由器的R5產(chǎn)生描述外部路由的5類LSA，描述這條外部路由5.5.5.0/24信息，其鏈路狀態(tài)ID為外部網(wǎng)絡(luò)網(wǎng)絡(luò)地址。4.1.45類LSA：ASExternalLSA4.1LSA類型ASBR將外部路由信息通過(guò)重發(fā)布方式注入到OSPF域中。4類LSA描述ASBR位置，使用哪個(gè)出ASBR。在ASBR直連區(qū)域內(nèi)，不產(chǎn)生4類LSA。ASBR發(fā)出1類LSA，指明自己是ASBR。如果生成4類的LSA，需要同時(shí)具備三個(gè)條件，才能實(shí)現(xiàn)OSPF內(nèi)部路由器，了解外部非OSPF路由。4.1.54類LSA：ASBR匯總LSA4.1LSA類型4類LSA是指向ASBR的LSA通告，由ABR產(chǎn)生。ASBR和ABR在同一區(qū)域，通過(guò)ASBR路由器產(chǎn)生1類LSA，知道該ASBR位置。1類LSA泛洪范國(guó)本區(qū)域內(nèi)，該區(qū)域外路由器如何得知這臺(tái)ASBR位置？需要借助4類LSA。4.1.54類LSA：ASBR匯總LSA4.1LSA類型7類LSA是一種特殊LSA，這是一種描述外部路由的LSA，只能在NSSA特殊區(qū)域泛洪，不能跨越NSSA區(qū)域，進(jìn)入OSPF常規(guī)區(qū)域。在特殊區(qū)域NSSA中，能阻擋5類LSA進(jìn)入骨干區(qū)域（Area0）。同時(shí)，允許NSSA區(qū)域中本地始發(fā)的、外部路由以7類LSA通告形式，在NSSA中泛洪。當(dāng)7類LSA到達(dá)NSSA區(qū)域ABR路由器，由ABR路由器將7類LSA轉(zhuǎn)換成5類LSA，傳輸?shù)焦歉蓞^(qū)域（Area0）中。將Area2區(qū)域配置為NSSA區(qū)域，自治域外部路由以7類LSA形態(tài)在區(qū)域內(nèi)傳播，到達(dá)ABR邊界路由器R4時(shí)，由ABR路由器R4轉(zhuǎn)化為5類LSA，傳播到骨干區(qū)域Area0中。4.1.67類LSA：NSSAexternalLSA4.1LSA類型外部類型1也稱OE1，外部路由的路徑開(kāi)銷（cost）值，為外部成本加報(bào)文經(jīng)過(guò)每條鏈路內(nèi)部成本。多臺(tái)ASBR路由器將連接外部路由，通告到OSPF自治域管理系統(tǒng)AS中，使用這種類型，避免OSPF網(wǎng)絡(luò)中發(fā)送次優(yōu)路徑。4.1.7路由表中OSPF路由類型4.1LSA類型外部類型2也OE2外部路由路徑開(kāi)銷（cost）值，只包含外部成本。在OSPF網(wǎng)絡(luò)部署中，只有一臺(tái)ASBR時(shí)，需要將外部路由通告到OSPF區(qū)域中，使用OE2為默認(rèn)OSPF網(wǎng)絡(luò)外部路由類型。使用OE2表示外部路由，用方括號(hào)標(biāo)識(shí)兩個(gè)數(shù)字[110/20]，分別是前往目標(biāo)網(wǎng)絡(luò)管理距離和總成本。當(dāng)本地網(wǎng)絡(luò)接收到多條。按如下順序，比較不同Metric值，實(shí)現(xiàn)優(yōu)選。首先比較外部LSA攜帶Metric，優(yōu)選值小外部LSA。如果外部LSA攜帶Metric值相同，則比校本地到達(dá)通告每條LSA的ASBR/FA地址的Metric，優(yōu)選值小。最后，如果本地通告每條LSA中的Metric值相同，則產(chǎn)生路由負(fù)載均衡。4.1.7路由表中OSPF路由類型4.2配置OSPF路由匯總隨著OSPF規(guī)模越來(lái)越大，路由表規(guī)模也逐漸變大，路由的查詢需要消耗設(shè)備資源，就需要在保證路由暢通同時(shí)，減小路由表規(guī)模，路由匯總就是一個(gè)有效手段。路由匯總又稱為路由聚合（RouteAggregationorRouteSummarization），把一組路由匯聚成一條路由條目。匯聚前路由稱明細(xì)路由。4.2.1OSPF路由匯總4.2配置OSPF路由匯總區(qū)域之間路由匯總在ABR進(jìn)行，針對(duì)區(qū)域內(nèi)路由匯聚。匯總不能使用路由重分發(fā)，不能把外部自治域中路由導(dǎo)入到OSPF。實(shí)現(xiàn)OSPF區(qū)域間路由匯總，需要保證區(qū)域內(nèi)網(wǎng)絡(luò)號(hào)連續(xù)，最大限度減少匯總后路由數(shù)量。4.2.1OSPF路由匯總4.2配置OSPF路由匯總4.2.2OSFP路由匯總命令4.3OSPF特殊區(qū)域Area1區(qū)域作為二級(jí)支行網(wǎng)絡(luò)，是整個(gè)銀行網(wǎng)絡(luò)“末節(jié)＂網(wǎng)絡(luò)，沒(méi)必要知道其它支行外部路由，只需要有一條路由到達(dá)域外即可。為了優(yōu)化非骨干區(qū)域OSPF路由傳輸，一種特殊末節(jié)區(qū)域stubarea技術(shù)應(yīng)運(yùn)而生。把Area1區(qū)域配置為OSPF網(wǎng)絡(luò)“末節(jié)＂網(wǎng)絡(luò)，優(yōu)化OSPF網(wǎng)絡(luò)部署。4.3.1OSPF特殊區(qū)域4.3OSPF特殊區(qū)域?qū)⒊Ｒ?guī)區(qū)域配置為末節(jié)區(qū)域(Stubarea)，來(lái)自外部網(wǎng)絡(luò)中LSA不會(huì)擴(kuò)散到末節(jié)區(qū)域，縮小區(qū)域內(nèi)LSDB數(shù)據(jù)庫(kù)，降低路由器消耗。在末節(jié)區(qū)域中，使用默認(rèn)路由（0.0.0.0）指引數(shù)據(jù)包前往OSPF路由域外網(wǎng)絡(luò)，該默認(rèn)路由通過(guò)末節(jié)區(qū)域ABR路由器生成。4.3.2配置Stub區(qū)域4.3OSPF特殊區(qū)域通過(guò)配置完全末節(jié)區(qū)域（Totallystubarea），區(qū)域內(nèi)的路由器收到的LSA將進(jìn)一步減少。區(qū)域內(nèi)部進(jìn)行LSA及SPF算法運(yùn)算耗費(fèi)也減少，增強(qiáng)網(wǎng)絡(luò)的可擴(kuò)展性。當(dāng)區(qū)域外拓?fù)涑霈F(xiàn)變更時(shí)，對(duì)本區(qū)域的影響也將變?yōu)樽钚?。外部LSA以及3類LSA和4類LSA，都不能傳播到完全末節(jié)區(qū)域（Totallystubarea）中。在完全末節(jié)區(qū)域（Totallystubarea）中只有區(qū)域內(nèi)路由和默認(rèn)路由，通過(guò)區(qū)域ABR將默認(rèn)路由0.0.0.0通告到區(qū)域中。4.3.3配置絕對(duì)末節(jié)區(qū)域4.3OSPF特殊區(qū)域與配置Stub區(qū)域類似，不可以將骨干區(qū)域Area0配置為Totallystubarea。如果配置一個(gè)區(qū)域?yàn)門otallystubarea，也不能在區(qū)域路由器上做路由重發(fā)布。完全末節(jié)區(qū)域（Totallystubarea）是最受限制、特殊區(qū)域類型。區(qū)域路由器僅僅依靠域邊界路由器ABR，生成一條默認(rèn)路由，實(shí)現(xiàn)全網(wǎng)絡(luò)連通。4.3.3配置絕對(duì)末節(jié)區(qū)域4.3OSPF特殊區(qū)域?qū)⒛承﹨^(qū)域配為Stub區(qū)域，阻擋來(lái)自其他區(qū)域4類LSA、5類LSA傳播；同時(shí)，區(qū)域內(nèi)的路由器禁止重發(fā)布外部路由。如果還期望該區(qū)域保留“阻擋其他區(qū)域的4類LSA、5類LSA”，還允許在區(qū)域本地發(fā)布路由，如何解決？OSPF路由進(jìn)一步優(yōu)化Stub區(qū)域，規(guī)劃了NSSA（not-so-stubby-area）區(qū)域解決。4.3.4配置NSSA區(qū)域4.4配置OSPF虛鏈路在OSPF規(guī)劃中，所有常規(guī)區(qū)域必須與骨干區(qū)域相連。因?yàn)槌Ｒ?guī)區(qū)域只能和骨干區(qū)域交換LSA；常規(guī)區(qū)域之間即使直連，也無(wú)法互換LSA通告，這樣，便無(wú)法學(xué)習(xí)到其它區(qū)域的路由。4.4.1OSPF虛鏈路技術(shù)4.4配置OSPF虛鏈路為解決某些特殊常規(guī)區(qū)域不能連接到骨干區(qū)域問(wèn)題，使用虛擬鏈路技術(shù)讓不能直接與骨干區(qū)域相連區(qū)域，最終與骨干區(qū)域直連，這種虛擬擴(kuò)展技術(shù)就是OSPF的虛鏈路（VirtualLink）。4.4.1OSPF虛鏈路技術(shù)4.4配置OSPF虛鏈路虛鏈路連接（Virtual-link）是在兩臺(tái)邊界路由器ABR之間，創(chuàng)建了一個(gè)常規(guī)區(qū)域，借助虛擬邏輯通道，實(shí)現(xiàn)常規(guī)區(qū)域之間邏輯連接（常規(guī)區(qū)域之間不通）。這里“邏輯通道”指在兩臺(tái)ABR路由器之間，建立LSA報(bào)文轉(zhuǎn)發(fā)通道。虛鏈路提供一條從末梢的常規(guī)區(qū)域到骨干區(qū)域邏輯鏈路。4.4.1OSPF虛鏈路技術(shù)4.4配置OSPF虛鏈路虛鏈路在兩臺(tái)ABR路由器之間創(chuàng)建一條無(wú)編址的邏輯鏈路，這些ABR路由器之間雖然沒(méi)有物理鏈路相連，但建立虛擬鄰居關(guān)系。在OSPF路由計(jì)算中，通過(guò)虛鏈路傳輸路由信息，作為域內(nèi)路由來(lái)看待，即兩臺(tái)ABR之間直接傳遞路由（ABR生成3類LSA），區(qū)域內(nèi)路由器同步方式也沒(méi)有改變。4.4.1OSPF虛鏈路技術(shù)4.4配置OSPF虛鏈路Area2與Area1直連，無(wú)法與骨干區(qū)域直連。R3雖是區(qū)域邊界路由器，但沒(méi)有連接骨干區(qū)域，不能將任何區(qū)域LSA通告?zhèn)鬟f進(jìn)Area2，導(dǎo)致Area2無(wú)法與其它區(qū)域通信。4.4.1OSPF虛鏈路技術(shù)4.4配置OSPF虛鏈路4.4.2配置OSPF虛鏈路4.5配置OSPF認(rèn)證4.5.1了解OSPF認(rèn)證OSPF支持三種報(bào)文認(rèn)證方式：空認(rèn)證（NullAuthentication）、簡(jiǎn)單密碼身份明文認(rèn)證（SimpleAuthentication）及密文認(rèn)證（CryptographicAuthentication）?？丈矸菡J(rèn)證：類型0（type0），默認(rèn)模式，報(bào)頭中不包含身份認(rèn)證秘鑰信息。簡(jiǎn)單密碼身份明文認(rèn)證：類型1（type1），明文身份認(rèn)證，使用簡(jiǎn)單明文口令。密文認(rèn)證：類型2（type2），MD5身份認(rèn)證，使用MD5加密口令。4.5配置OSPF認(rèn)證4.5.1了解OSPF認(rèn)證OSPF支持三種報(bào)文認(rèn)證：空認(rèn)證（NullAuthentication）、簡(jiǎn)單密碼身份明文認(rèn)證（SimpleAuthentication）及密文認(rèn)證（CryptographicAuthentication）。默認(rèn)情況下，OSPF使用身份認(rèn)證方法NULL，即不對(duì)路由信息進(jìn)行認(rèn)證。通過(guò)開(kāi)啟鄰居安全認(rèn)證，則相同網(wǎng)段上所有對(duì)等路由器使用相同口令和身份認(rèn)證方法。在部署OSPF安全中，在鏈路上進(jìn)行，也可以在整個(gè)區(qū)域內(nèi)進(jìn)行認(rèn)證。另外，虛鏈路同樣也可以進(jìn)行認(rèn)證。4.5配置OSPF認(rèn)證4.5.2OSPF明文認(rèn)證當(dāng)OSPF區(qū)域中設(shè)備不支持MD5身份安全認(rèn)證，使用明文身份認(rèn)證。明文認(rèn)證將密碼以明文形式，包含在OSPF報(bào)頭中傳輸，使OSPF網(wǎng)絡(luò)容易受到“嗅探器攻擊”。受到這種攻擊時(shí)，數(shù)據(jù)包會(huì)被協(xié)議分析程序捕獲而讀取口令，導(dǎo)致網(wǎng)絡(luò)安全性不夠。在某個(gè)接口上開(kāi)啟OSPF報(bào)文安全認(rèn)證，也可以在一個(gè)區(qū)域中開(kāi)啟。當(dāng)在一個(gè)區(qū)域中開(kāi)啟認(rèn)證功能時(shí)，屬于該區(qū)域中OSPF路由器上所有接口均開(kāi)啟認(rèn)證。無(wú)論認(rèn)證在哪里開(kāi)啟，最終都是基于接口運(yùn)作。4.5配置OSPF認(rèn)證4.5.4OSPF密文認(rèn)證MD5算法基于每一個(gè)O