前言
本篇文章爲OSPF協議的最後一篇文章,主要介紹OSPF的一些其他特性以及路由彙總配置。
路由彙總
在大規模部署OSPF網絡時,可能會出現由於OSPF路由表規模過大而降低路由查找速度的現象,爲了解決這個問題,可以配置路由彙總,減小路由表的規模。
區域間彙總
如圖所示,Area 1中存在8個連續網段,彙總前RTB將產生8條三類LSA。在RTB上配置彙總後,RTB僅產生1條三類LSA並泛洪到Area 0。
規劃網段,並配置路由器各個接口IP地址。
這裏舉例LoopBack接口配置:
interface LoopBack0
ip address 172.16.0.1 255.255.255.0
配置OSPF
以AR2舉例:
[AR2-ospf-1]
[AR2-ospf-1]a 1
[AR2-ospf-1-area-0.0.0.1]network 172.16.8.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.1]a 0
[AR2-ospf-1-area-0.0.0.0]network 172.16.9.0 0.0.0.255
注意AR1的9條路由可一起宣告:(其實其他路由器也可)
[AR1-ospf-1]a 1
[AR1-ospf-1-area-0.0.0.1]network 172.16.0.0 0.0.255.255
查看AR2上的三類LSA:
發現有非常多。
也可用display ospf lsdb summary
只查看三類LSA
[AR2-ospf-1-area-0.0.0.1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.8.2
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 318 36 80000005 1
Router 172.16.9.3 172.16.9.3 319 48 80000009 1
Router 172.16.8.2 172.16.8.2 383 36 80000005 1
Network 172.16.10.4 172.16.10.4 319 32 80000003 0
Network 172.16.9.3 172.16.9.3 380 32 80000003 0
Sum-Net 172.16.3.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.2.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.1.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.0.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.7.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.6.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.5.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.4.1 172.16.8.2 11 28 80000001 1
Sum-Net 172.16.8.0 172.16.8.2 11 28 80000001 1
Area: 0.0.0.1
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.8.2 172.16.8.2 438 36 80000007 1
Router 172.16.8.1 172.16.8.1 1114 132 80000009 1
Network 172.16.8.2 172.16.8.2 439 32 80000003 0
Sum-Net 172.16.10.0 172.16.8.2 318 28 80000003 2
Sum-Net 172.16.9.0 172.16.8.2 433 28 80000002 1
做區域間路由彙總:
[AR2-ospf-1-area-0.0.0.1]abr-summary 172.16.0.0 255.255.0.0
再次查看AR2上的三類LSA
發現在Area 0三類LSA進行了彙總:Sum-Net 172.16.0.0 172.16.8.2 5 28 80000001 1
[AR2-ospf-1-area-0.0.0.1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.8.2
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 465 36 80000005 1
Router 172.16.9.3 172.16.9.3 466 48 80000009 1
Router 172.16.8.2 172.16.8.2 530 36 80000005 1
Network 172.16.10.4 172.16.10.4 466 32 80000003 0
Network 172.16.9.3 172.16.9.3 527 32 80000003 0
Sum-Net 172.16.0.0 172.16.8.2 5 28 80000001 1
Area: 0.0.0.1
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.8.2 172.16.8.2 585 36 80000007 1
Router 172.16.8.1 172.16.8.1 1261 132 80000009 1
Network 172.16.8.2 172.16.8.2 586 32 80000003 0
Sum-Net 172.16.10.0 172.16.8.2 465 28 80000003 2
Sum-Net 172.16.9.0 172.16.8.2 580 28 80000002 1
外部路由彙總
如圖所示,Area 0中RTA將2個連續的外部路由引入到OSPF域內,產生2條五類LSA並在OSPF進程域內泛洪。
在原有拓撲上添加外部路由,並添加IP地址。
注意外部路由引入
[AR5-rip-1]import-route ospf
[AR3-ospf-1]import-route rip
詳細配置信息可見OSPF(五)OSPF外部路由
查看AR3的LSDB
發現有兩條外部路由:
External 172.17.0.0 172.16.9.3 104 36 80000001 1
External 172.17.1.0 172.16.9.3 104 36 80000001 1
[AR3-ospf-1-area-0.0.0.0]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.9.3
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 1046 36 80000005 1
Router 172.16.9.3 172.16.9.3 104 60 8000000D 1
Router 172.16.8.2 172.16.8.2 1113 36 80000005 1
Router 172.16.11.5 172.16.11.5 134 36 80000005 1
Network 172.16.10.4 172.16.10.4 1047 32 80000003 0
Network 172.16.9.3 172.16.9.3 1108 32 80000003 0
Network 172.16.11.5 172.16.11.5 134 32 80000002 0
Sum-Net 172.16.0.0 172.16.8.2 588 28 80000001 1
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 172.17.0.0 172.16.9.3 104 36 80000001 1
External 172.17.1.0 172.16.9.3 104 36 80000001 1
External 172.16.10.0 172.16.9.3 104 36 80000001 1
External 172.16.11.0 172.16.9.3 104 36 80000001 1
External 172.16.9.0 172.16.9.3 104 36 80000001 1
在ASBR配置外部路由彙總
[AR3-ospf-1]asbr-summary 172.17.0.0 255.255.0.0
再次查看AR3的LSDB
發現彙總成一條外部路由:
External 172.17.0.0 172.16.9.3 16 36 80000002 2
[AR3-ospf-1]dis ospf lsdb
OSPF Process 1 with Router ID 172.16.9.3
Link State Database
Area: 0.0.0.0
Type LinkState ID AdvRouter Age Len Sequence Metric
Router 172.16.10.4 172.16.10.4 1105 36 80000005 1
Router 172.16.9.3 172.16.9.3 163 60 8000000D 1
Router 172.16.8.2 172.16.8.2 1172 36 80000005 1
Router 172.16.11.5 172.16.11.5 193 36 80000005 1
Network 172.16.10.4 172.16.10.4 1106 32 80000003 0
Network 172.16.9.3 172.16.9.3 1167 32 80000003 0
Network 172.16.11.5 172.16.11.5 193 32 80000002 0
Sum-Net 172.16.0.0 172.16.8.2 647 28 80000001 1
AS External Database
Type LinkState ID AdvRouter Age Len Sequence Metric
External 172.17.0.0 172.16.9.3 16 36 80000002 2
External 172.16.10.0 172.16.9.3 163 36 80000001 1
External 172.16.11.0 172.16.9.3 163 36 80000001 1
External 172.16.9.0 172.16.9.3 163 36 80000001 1
OSPF更新機制
- 爲了保證路由計算的準確性,需要保證LSA的可靠性。OSPF爲每個LSA條目維持一個老化計時器(3600s),當計時器超時,此LSA將從LSDB中刪除。
- 爲了防止LSA條目達到最大生存時間而被刪除,OSPF通過定期更新(每1800s刷新一次)機制來刷新LSA。OSPF路由器每1800s會重新生成LSA,並通告給其他路由器。
- 爲了加快收斂速度,OSPF設置了觸發更新機制。當鏈路狀態發生變化後,路由器立即發送更新消息,其他路由器收到更新消息後立即進行路由計算,快速完成收斂。
OSPF認證機制
安全隱患
如圖所示,內部網絡通過OSPF協議傳遞路由。正常情況下,財務部訪問公司數據庫的流量走向是“財務部->RTA->RTB->Database”。
非法設備接入公司內網,通過向網絡中注入非法路由,引導流量進行非正常的轉發。即“財務部->RTA->非法設備->RTB->Database”。非法設備收到財務部的流量之後,進行惡意分析,獲取財務部關鍵信息,造成公司機密泄露。
認證解決安全隱患
OSPF支持認證功能,只有通過認證的OSPF路由器才能正常建立鄰居關係,交互信息。
兩種認證方式:
1. 區域認證方式。
2. 接口認證方式。
當兩種認證方式都存在時,優先使用接口認證方式。
支持的認證模式分爲null(不認證)、simple(明文)、MD5以及HMAC-MD5。