園區(qū)網(wǎng)OSPF規(guī)劃

1、第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署區(qū)網(wǎng)OSPF規(guī)劃與部署前言：本文主要介紹了園區(qū)網(wǎng)中OSPF規(guī)劃要點和部s OSPF的主要配置，對于OSPF協(xié)議原理和技術細節(jié)沒有過多的闡述，適用于對于OSPF協(xié)議原理有一 定了解的渠道工程師和網(wǎng)絡維護人員.6.1 OSPF協(xié)議簡單介紹OSPF是由IETF的IGP匸作組為IP網(wǎng)絡開發(fā)的路由協(xié)議oOSPF作為一種內(nèi)部網(wǎng)關協(xié) 議（Iiiterioi Gateway Piotocol, IGP）,用丁園區(qū)中的路由器之間發(fā)布路由信息。它是一種鏈 路狀態(tài)協(xié)議，區(qū)別距離矢屆協(xié)議（RIP）, OSPF J14支持人型網(wǎng)絡、路由收斂快、占用網(wǎng)絡 資源少等優(yōu)點，在II前應用的路rh協(xié)

2、議中占冇相半帀耍的地位，銳捷公司產(chǎn)品實現(xiàn)OSPFV2。6.2 OSPF協(xié)議應用場合在當前園區(qū)網(wǎng)絡中，OSPF的應用場介阜木上冇以卜三種：（1）園區(qū)網(wǎng)屮核心和匯聚都足支持OSPFV2的三層交換機（2）園區(qū)核心或者匯聚層設備上建上了過聶的靜態(tài)路由，人工維護磺過人（3）園區(qū)屮的三層設備支持OSPFV2但是仍然在使用RIP協(xié)議的町以考渥做協(xié)議遷移。在口常丁作中常見的情況只有（1）和（2）兩種。6.3 OSPF協(xié)議基本規(guī)劃OSPF網(wǎng)絡協(xié)議在所令內(nèi)部網(wǎng)關協(xié)議中是比較復朵的一種，這種復雜性和OSPF的協(xié)議 原理密切相關，那么在設計園區(qū)網(wǎng)中的OSPF我們JI體需?？紓颇膬悍矫娴膯栴}呢？在本卩 屮將會為您介紹。

3、6.3.1保持OSPF數(shù)據(jù)庫的穩(wěn)定性：Router-id的選擇對于大型園區(qū)網(wǎng)絡OSPF設計和實施中我們需要考慮的第一點，就是Router-id的選擇這是因為OSPF作為種鏈路狀態(tài)路由協(xié)議其計算路宙的依據(jù)是LSA （鏈路狀態(tài)立告報 文）數(shù)據(jù)庫，每個運行OSPF的路由器都會發(fā)送并泛洪LSA報文到整個網(wǎng)絡，這樣網(wǎng)絡中每 個運行OSPF的路由器都會收集到其他設備發(fā)送過來的LSA并FL放入LSA數(shù)據(jù)庫中，然后 開始進行SPF （最短路徑轉(zhuǎn)發(fā)）運算，計算出一棵以口 （2為根到其他網(wǎng)絡的無環(huán)樹。宙此可 以看出保持每個路宙器LSA數(shù)據(jù)庫的穩(wěn)定性是保證OSPF網(wǎng)絡穩(wěn)定的前捉。那么在LSA數(shù) 據(jù)庫屮対不同OSPF

4、設備發(fā)送來的LSA是如何進行區(qū)分的呢，答案就是使用Router-id.如 果個路由器的Routezd發(fā)牛變化，那么此路由器的會匝新進行LSA泛洪，從而導致全網(wǎng) OSPF路由器都會更新其LSA數(shù)據(jù)庫并1L直新進行SPF計算，使得OSPF網(wǎng)絡發(fā)生振蕩。因 此選擇一個穩(wěn)定的Routei-id是OSPF網(wǎng)絡設計的首要工作。了解了 Router-id的晅耍性后,我們來看看一個OSPF路由器是如何選擇Router-id的，其選舉原則基本上可以歸納為以下兩點：（1）首先選擇貝有最高IP地址的環(huán)回接11（2）如果沒幻環(huán)回接I I的話則選擇JWfMrWjIP地址的激活物理接I Io在一個OSPF路由器選舉出Ro

5、utei-id后，幣:川路由器或者啦新配置OSPF進程都會導致 Router-id的巫噺選舉.如果OSPF路由器選擇了一個激活物理接I I的IP地址作為Router-id 的話，那么一 II其down掉.就冇可能引起OSPF路由器的Router-id發(fā)生變更，因此選擇物 理接口是一種危險的做法。在實際工程中，銳捷網(wǎng)絡的推薦做法是首先規(guī)劃出一個私有網(wǎng)段用于OSPF的 Router-id選擇。例如：/24在啟用OSPF進程前就在每個OSPF路由器上建立 一個環(huán)回口，使用一個32位掩碼的私有地址作為其IP,這個32位的私有地址不要發(fā)布在 OSPF網(wǎng)絡中.6.3.2層次化的網(wǎng)絡設

6、計：OSPF區(qū)域的規(guī)劃OSPF是一個盂耍層次化設計的網(wǎng)絡協(xié)議，在OSPF網(wǎng)絡中使用了一個區(qū)域的概念，從 層次化的角度來看區(qū)域被分為兩種：骨干區(qū)域和非骨干區(qū)域。骨干區(qū)域的編巧為0,卄骨干 區(qū)域的編弓從1到4294967295。處匸冴干區(qū)域和非骨干區(qū)域邊界的OSPF路由器被稱為ABR （區(qū)域邊界路由器）,處丁非骨干區(qū)域的路由器被稱為區(qū)域內(nèi)部路由器。由J; OSPF的區(qū)域邊 界處丁路由器上，因此対于每個非骨干區(qū)域屮都會存在至少一個ABRo實際上OSPF區(qū)域的規(guī)劃也就是把網(wǎng)絡中的OSPF路由器做歸類的過程。在設計OSPF區(qū)域時，我們首先需耍考慮第一點的是網(wǎng)絡的規(guī)模對小型的園區(qū)網(wǎng)絡, 例如只仃幾臺S35

7、50作為核心和匯聚的網(wǎng)絡可以考慮只使用一個AREA0來完成OSPF規(guī)劃。 這在本文屮不予討論。但是在人型園區(qū)的OSPF網(wǎng)絡中，網(wǎng)絡的層次化設計是必須的。對人型的園區(qū)網(wǎng)絡，一般在規(guī)劃上都會遵循核心，匯聚，接入的分層原則，而OSPF 骨十路由器的選擇必然包含兩種設備.一種是位核心位置的設備，另一種是位區(qū)域核 心的匯聚設備,通常都是銳捷網(wǎng)絡的高端產(chǎn)品如S6810E和S6806E非骨干區(qū)域的范圍選擇 則是根據(jù)地理位直和設備性能而定，如果在單個非骨干區(qū)域中使用了較多的低端三層交換產(chǎn) fln III J-K產(chǎn)品定位和性能的限制，應該盡磺減少其時山條II數(shù)吊“把區(qū)域規(guī)劃得更小些。值得注意的是在施工中對于非骨

8、干區(qū)域的AREA號定義，銳捷網(wǎng)絡推薦使用AREA10,20 30來遞增，這樣可以提供AREA號上的冗余，便于客戶增加區(qū)域。6.33非骨干區(qū)域內(nèi)部路由器的路由表項優(yōu)化：特殊區(qū)域的使用前一節(jié)講到在OSPF的卄骨干區(qū)域中使川的一般部是較為低端的三層交換機，其產(chǎn)品定 位使得其不町能廉受過多的路由條目，為了梏簡其路由條目數(shù)吊屮J以采用一些特殊區(qū)域模式 來進行路由表項的優(yōu)化。銳捷網(wǎng)絡產(chǎn)品支持OSPF協(xié)議屮定義的全部三種特殊區(qū)域模熨：末 梢區(qū)域（SrubAre".完全末梢區(qū)域（Totally Stub Area）和非完全末梢區(qū)域（NSSAA1"）。由J;NSSA區(qū)域應用侔常少.卜而簡單介

9、紹一下前兩種特殊區(qū)域的區(qū)別和應用場介：(1) 末梢區(qū)域Stub Area處丁末梢區(qū)域的內(nèi)部路由器將不會出現(xiàn)亜分布進入OSPF網(wǎng)絡的外部路由條目，并L擁仃一 條指向區(qū)域外部的默認路由。(2) 完全末梢區(qū)域Totally Stub Aiea處/完全末梢區(qū)域的內(nèi)部路由器只有區(qū)域內(nèi)部明細路由和指向區(qū)域外部的一條默認路由。在絕大部分的情況下，園區(qū)網(wǎng)中的非骨干區(qū)域中都僅僅需要知道默認路由出口在哪里， 因此銳捷網(wǎng)絡推薦把非骨干區(qū)域統(tǒng)一設置成完全末梢區(qū)域，這樣將極大的精簡非骨干區(qū)域內(nèi) 部路由器的路由條目數(shù)量，并且減少區(qū)域內(nèi)部OSPF交互的信息量。對于極少數(shù)存在特殊需 求的網(wǎng)絡，請根據(jù)實際情況靈活使用幾種區(qū)域類

10、型。63.4骨干區(qū)域路由器的路由表項優(yōu)化：非骨干區(qū)域IP子網(wǎng)規(guī)劃和路由匯總對J- OSPF的非骨十區(qū)域來說使用特殊區(qū)域能夠楮簡其內(nèi)部路由器的路由表，那么對J- OSPF的件干區(qū)域的路由器來說又是如何優(yōu)化其路宙衷的呢？答案就是對IE竹干區(qū)域使用的 IP網(wǎng)段作出合理規(guī)劃以便尸區(qū)域邊界的匯總。對rip網(wǎng)段的介理規(guī)劃在本書中第三章園區(qū)網(wǎng)ip地址規(guī)劃設計中己經(jīng)冇非常詳細 的說明，本章節(jié)就不再做過多的闡述。銳捷網(wǎng)絡推薦新建OSPF網(wǎng)絡能夠在前期就作出利于路由匯總的IP網(wǎng)絡設計，對于擴 建的網(wǎng)絡盡量進行IP地址的重新規(guī)劃，通過區(qū)域匯總能精簡骨干區(qū)域路由器的路由表，減 少骨干區(qū)域內(nèi)OSPF交互的信息量，并且提

11、高了路由表項的穩(wěn)定性。63.5 OSPF默認路由的引入和選路優(yōu)化：篁分布靜態(tài)和cost調(diào)整當前對J：個人型園區(qū)網(wǎng)絡來說，很人一部分的業(yè)務流磺并不在園區(qū)內(nèi)部，而是通往 INTERNET JliI 1,因此默認路由的引入也是園區(qū)網(wǎng)絡OSPF設計的一人耍點。對于OSPF網(wǎng)絡的默認路由引入方式，銳捷網(wǎng)絡推薦使用靜態(tài)默認路由重分布到OSPF 網(wǎng)絡的方式進行。在實際的大多數(shù)匸程案例中，園區(qū)網(wǎng)的出口往往不止一個,如何有效的將出I流量分擔 到多條鏈路上就成為了 OSPFi殳訃中的 個難點。雖然仃很多種乎段能夠達到分擔流屆的口 的，但是最簡單也是最安全的方法是使用OSPF內(nèi)建的選路機制因為OSPF路由器對 條

12、路由的優(yōu)劣衡竜是通過計算其cost值來實現(xiàn)的，cost值小的路由會被路由器優(yōu)先放入路由 農(nóng)。通過調(diào)整OSPF接I I的cost值町以使得路由器選釋不同的鏈路出I 1來達到負載分擔的I 的。不過在調(diào)整cost值之前還有一項必須耍做的匸作。因為OSPFV2出現(xiàn)的時間較早，沒有 考慮到帶寬的E速發(fā)展，因此缺省情況卜，OSPF計算cost fi'L使用的參羽；i；寬為100M,也就 是說缺省情況下,OSPF把100M帶寬以上的端【I統(tǒng)統(tǒng)認為氏cost是。很明顯,在網(wǎng)絡骨干 帶寬邁向10T的今天已經(jīng)顯得非常的不合時宜。幸運的是銳捷網(wǎng)絡設備提供了更改參考帶寬 的功能，使用auto-cost ref

13、erence-banchridth命令選抒一個介適的參考帶寬成為OSPF網(wǎng)絡建 設中必須耍做的一項工作。對于OSPF網(wǎng)絡的選路優(yōu)化，銳捷網(wǎng)絡推薦首先選擇合適的參考帶寬,然后通過調(diào)整 OSPF接口 cost值來實現(xiàn)。6.3.6 OSPF網(wǎng)絡基本安全：阻止發(fā)往用戶的OSPF報文対丁一個人型園區(qū)網(wǎng)絡來說，安全性是必須要考慮到的問題，對J；園區(qū)網(wǎng)絡的安全性設 計請査閱木書的第九章銳捷園區(qū)網(wǎng)安全功能的規(guī)劃，木節(jié)主耍討論的是如何避免終端用 戶通過Sniffer工具窺探到園區(qū)內(nèi)OSPF報文信息。首先談談為什么需:耍避免終端用戶窺探OSPF報文信息，這是因為如果用戶能截獲OSPF 報文，那就意味著他已經(jīng)知道如

14、何加入此OSPF網(wǎng)絡。此時要破壞這個OSPF網(wǎng)絡已經(jīng)是輕 而易舉的事.接入一臺路II 1OSPF網(wǎng)絡中，并且使得該路山器的OSPF K處不和l 的狀態(tài)屮，會導致整個OSPF網(wǎng)絡發(fā)生振蕩茯至癱瘓。為了保證OSPF網(wǎng)絡的安全與穩(wěn)定，銳捷網(wǎng)絡推薦在實際工程中使用閉塞接口 (Passlve-interface)的方式來阻止通往用戶側的OSPF報文。6.4 OSPF案例分析和部署本章上一節(jié)對整個OSPF園區(qū)網(wǎng)絡設計的六個基本原則作出了詳細說明.卜血我們來看 看在實際工程屮我們是如何運用這六個基本原則刈OSPF進行設計和部署的。INTERNE I圖6J某園區(qū)網(wǎng)絡拓撲圖圖6是某園區(qū)網(wǎng)絡的物理拓撲圖,可以看到

15、這是一個大型園區(qū)網(wǎng)絡,核心，匯聚,接 入三層分明，擁仃多出II到Internet,園區(qū)內(nèi)部網(wǎng)絡存在雙鏈路冗余。対這種比較典型的 網(wǎng)絡結構，我們將如何進行OSPF的規(guī)劃部署匸作呢？卜面將根據(jù)匕一節(jié)提出的六條基木原 則逐步進彳j此網(wǎng)絡的設:計和部署。6.4.1保持OSPF數(shù)據(jù)庫的穩(wěn)定性：規(guī)劃和部« Router-id.部署OSPF的首耍I作就是規(guī)劃和部署Router-id.在Router-id僅僅是一個OSPF設備 的標識,因此不需要占用公共IP,使用一個合適的私有IP地址段即可。在此案例中我們選 用的 Routei-id 地址段為 /24.選収完Routei-id地址段

16、后，接卜來需要做的匸作是在毎個OSPF設備上建沉相W的Loopback接I I并設置相應的接I 1 IP為10.0.0.X/32。真體配置以 號樓的S3550-24交換機為 例：命令含義switch(config)# interface loopback 0創(chuàng)建環(huán)回接IIswitch(config-if) ip add 55使用32位掩碼的私有地址注意不要在OSPF進程中發(fā)布loopbackO的接口地址,以減少無用的OSPF信 息交互報文.INTERNET接入交10,0.0.1fooo4向誦R5二號嘍第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署第6章園區(qū)網(wǎng)OSPF

17、規(guī)劃與部署圖6-2 Router-id規(guī)劃后的OSPF拓撲圖第6章園區(qū)網(wǎng)OSPF觀劃與部署6.4.2層次化的網(wǎng)絡設計：OSPF的區(qū)域規(guī)劃在分配完Router-id后，接卜來的丁作就是刈J：整個OSPF網(wǎng)絡進行區(qū)域劃分。対J：這種 層次分明的網(wǎng)絡，OSPF的區(qū)域劃分是非常容易的，直接把孩心和區(qū)域匯聚交換機包含到區(qū) 域0,再按照地理位置來區(qū)分非骨干區(qū)域。唯一需耍江總的是也骨干區(qū)域AREA號的冗余性, 在實際工作中經(jīng)常被忽視。卜圖是做了 AREA劃分后的OSPF網(wǎng)絡拓撲圖：號樓INTERNETAREA 30按入交S3512G 535504 祐臨何珂q|iCT02二號樓第6章園區(qū)網(wǎng)OSPF觀劃與部署第

18、6章園區(qū)網(wǎng)OSPF觀劃與部署圖6-3 AREA劃分后的OSPF拓撲圖貝體的設備配國以-號樓的S6806E交換機為例:命令含義S6806E(config)# router ospf建立OSPF進程S6806E(coiifig-iouter)# netwoik area 0將上聯(lián)S6810E的接口放到 骨干區(qū)域S6806E (config-router)# network aiea 10將卜行到S355O的接I I放到非骨干區(qū)域10從配置命令中可以清楚的看到OSPF區(qū)域是以路由器為邊界的.例如此抓撲中一巧樓的 S6806E上聯(lián)接I

19、I屬J- Area 0 ,卜行接I I屬J： Area 10,也就是說，此路由器挎越了兩個區(qū) 域，是一個區(qū)域邊界路由器。第6章園區(qū)網(wǎng)OSPF觀劃與部署果出現(xiàn)這種情況應該考慮縮小區(qū)域范圍。第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署6.43非骨干區(qū)域內(nèi)部路由器的路由表項優(yōu)化：特殊區(qū)域的使用劃分完OSPF網(wǎng)絡區(qū)域，就應該開始考慮特殊區(qū)域的運用了本案例具冇很強的代表性, 象此類型的園區(qū)網(wǎng)絡，銳捷網(wǎng)絡推薦非骨干區(qū)域一律采用完全末梢區(qū)域.(Totally Stub Area). 具體拓撲圖如卜：INTERNETTotally Stub Area圖6 4采用特殊區(qū)域后的OSPF網(wǎng)絡貝體設備配宜以AREA 10的S680

20、6E和S3550為例S355O配置如下表:命令含義S3 5 50(config)#i outer ospf進入OSPF進程S3 5 50(config-router)rArea 10 stub將AREA 10設置成為stub區(qū)域S6806E配置如下表:命令含義S6806E(config)#router ospf進入OSPF進程S6806E(config-iouter)#Aiea 10 stub no-sunmiaiy將AREA 10設置成為stub區(qū)域， No-summary參數(shù)用在IX域邊界路 由器上，設置此區(qū)域為完全末梢區(qū) 域6.4.4骨干區(qū)域路由器的路由表項優(yōu)化：非骨干區(qū)域IP子網(wǎng)規(guī)劃和

21、路由匯總使用特殊區(qū)域厲，卄骨干區(qū)域內(nèi)部路由器的路由表得到極人的精簡并H.減少了區(qū)域內(nèi)部 OSPF路由器之間的信息交互量。在骨干區(qū)域我們也需要作出適當?shù)牟僮鱽磉_到同樣的H的, 這就要對罪竹F區(qū)域使用的IP子網(wǎng)作出介理規(guī)劃并在區(qū)域邊界路I1J器進行匯總操作。在卜圖中顯示了區(qū)域10作出介理的IP規(guī)劃厲往區(qū)域0通告的路由匯總表項:R-zHl二號樓三號樓AREA 20RGS6?jfE|E|Qarea 30S3550-24Q接入交:接入交3550-240.0.0J6ITbtaliy Stub AreaTotally Stub AreaTotally Stub Area區(qū)域

22、工機IPJ*址分BR -55岡域工機IP地址分配-55區(qū)域主機IP地址分K! -5565區(qū)域邊界路由匯總區(qū)域路由匯總會抑制明細路由條冃的通告，這樣區(qū)域10的ABR就只會向區(qū)域0內(nèi)注 入一條匯總路由/22,這樣可以桔簡檸干路由器路宙表項，減少AREA0的OSPF報 文交互彊和保證其路由表的穩(wěn)定。銳捷網(wǎng)絡推薦在設計OSPF網(wǎng)絡時就合理規(guī)劃IP地址，在實施OSPF時進行區(qū)域匯總。貝體配置以Area 10的S6806E為例命令含義S6806E(coiifig)#router ospf進

23、入OSPF進程S6806E(coiifig-iouter)#area 10 range 對Aiea 10的路11進行 匯總發(fā)布注意:Area x range命令只能用在區(qū)域邊界路由上,區(qū)域內(nèi)部路由器上不要使用 此條命令,否則會造成路由表項的錯誤。第6章園區(qū)網(wǎng)OSPF觀劃與部署6.4.5 OSPFJK認路由的引入和選路優(yōu)化：重分布靜態(tài)和cost調(diào)整對于這種多出【1的網(wǎng)絡拓撲,引入默認路由和多出口流鼠分擔是必須要考慮的問題.引入默認路由的方式有多種，銳捷網(wǎng)絡推薦的做法是在邊界路由器上建立靜態(tài)默認路 由，并且重分布到OSPF進程中。在本案例中兩條默認路由被

24、引入到OSPF網(wǎng)絡后，対匯聚層的S6806E設備來講礙耍 選釋其中的一條鏈路投遞IP報文，或者是在兩條鏈路上實現(xiàn)負載均衡。因為園區(qū)網(wǎng)內(nèi)部使用的是私有地址，出口處必須做NAT轉(zhuǎn)換，因此使用兩條鏈路負載 均衡的方式是不可行的.只能通過調(diào)整cost值來使得S6806E把其中的一條上行鏈路作為主 鏈路，另外一條作為備份鏈路。具體項目中如何分配流量，請根據(jù)實際的網(wǎng)絡情況靈活配置。 不過在做這項工作前，請記得首先更改OSPF網(wǎng)絡的參考帶寬。圖&6中區(qū)域10的OSPF路由器在進行了選路調(diào)整后,對上行鏈路,核心交換機和出口都 作出了介理的流屋分擔。LNIEKNETAREA10 的主出口! AREA10

25、 :的備用出口二號樓一號嘍RG-S6806EUUAREA10S3550-24 S3512g S355Q-24;|10-08|麗両亡錢入交換亦AREA 20接入交Totally Stub Area區(qū)域主機IP地址分配 -55區(qū)域主機IP地址分配-55區(qū)威主機IP地址分配 -55圖66 OSPF選路優(yōu)化圖屮各區(qū)域S6806E的上聯(lián)鏈路實線部分衣示為主鏈路，虛線部分農(nóng)示此鏈路為備用鏈路。第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署默認路由引入的具體配置如卜:命令含義Routcr(config)#ip route

26、 在出11路由器上建立一條指向電 信路由器的靜態(tài)默認路由Router(configi)# router ospf進入OSPF進程Router(config-router)# redistribute static將靜態(tài)路宙引入OSPF選躋優(yōu)化貝體配國以Aiea 10的S6806E56810E-LS6810E-2為例AREA10匯聚交換機S6806E的配幣命令含義S6806E(config)#router ospf進入OSPF進程S6806E(config-router)#auto-cost reference-bandwidth 1000

27、0將網(wǎng)絡參考帶寬改為10GS6806E(config)#mterface T 1/1進入S6806E到S6810E-1的匕聯(lián) 接口S6806E(config-if)#ip ospf cost 10調(diào)整此接口的cost值為10S6806E(coiifig)#mterface T 1/2進入S6806E到S6810E-2的上聯(lián) 接口S6806E(coiifig-if)#ip ospf cost 20調(diào)整此接口的cost值為20S6810E-1的配置:命令含義S6810E-l(coiifig)router ospf進入OSPF進程S6810E-l(config-iouter)#auto-cost r

28、eference-bandwidth 1000將網(wǎng)絡參考帶寬改為10GS6810E-l(config)#intei-face T 1/1進入?yún)^(qū)域10 S6806E的卜行接1 1S6810E-1 (config-if)#ip ospf cost 10調(diào)整此接口的cost值為10S6810E-2的配置:命令含義S6810E-2(coiifig)#router ospf進入OSPF進程S6810E-2(config-router)#auto-cost reference-bandwidth 1000將網(wǎng)絡參考帶寬改為10GS6810E-2(config)#interface T 1/1進入?yún)^(qū)域10

29、S6806E的下行接11S6810E-2(config-if)#ip ospf cost 20調(diào)整此接口的cost值為20注意在做OSPF選路調(diào)整時注意兩點:一是更改OSPF參考帶寬時必須保證全 網(wǎng)設備一致,二是在鏈路兩側的設備上需要作出同樣的cost調(diào)整,否則會形成不對稱路由,引起網(wǎng)絡故障。6.4.6 OSPF網(wǎng)絡的基本安全：阻止發(fā)往用戶的OSPF報文對本案例來說，做完上面五步，實際上整個OSPF網(wǎng)絡已經(jīng)能夠正常的運行，但是這 個網(wǎng)絡存在一個較人的安個漏洞。即用八側能夠接收到OSPF的hello報文，使用Sniffer工 貝可以很輕易的獲得基本的網(wǎng)絡信息，并作出卜一步的攻擊行為。為了實現(xiàn)OS

30、PF網(wǎng)絡的基本安全，在實際工程中銳捷網(wǎng)絡推薦使用Passive接口的方式 來阻止發(fā)往用戶的OSPF報文。如圖67所示：AREA 10圖6-7 阻止發(fā)往用八的OSPF報文其體配置以Area 10中的一臺S355O為例:命令含義S3550(coiifig)# router ospf進入OSPF進程S3550(config-router)#passive-inteiiace vlan 10阻塞發(fā)往用戶vlan的OSPF報文注意:passive-interface命令會阻塞所有OSPF報文的發(fā)送.一般只會用于用戶 vlan的SVI接口上千萬不要阻塞OSPF路由器之間的鏈路,這將導致OSPF鄰 居無法建

31、立。第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署6.5OSPF可選配置本章節(jié)介紹了不太常見的OSPF配置，在實際工程屮可以選擇性使用。6.5.1 OSPF接口參數(shù)調(diào)整OSPF接口參數(shù)是OSPF協(xié)議的一個組成部分，將直接影響協(xié)議的運行.在絕大多數(shù)情 況下，銳捷網(wǎng)絡推薦不要去更改這些參數(shù)的默認值。只有在某些特定應用環(huán)境中，比如運營 商的網(wǎng)絡，可能會需要調(diào)整OSPF的接口參數(shù)。常見的OSPF接I I參數(shù)有卜面幾種:（1）OSPF網(wǎng)絡類型銳捷交換機支持兩種OSPF網(wǎng)絡類型：pomt-to-pomt （點到點）和Broadcast （廣播）。 這兩種OSPF網(wǎng)絡類型的主耍區(qū)別在J; Broadcast石要選舉DR （

32、指定路山器）和BDR （備川 Ih定路宙器），pomt-to-pomt不石耍。因此Broadcast類型的接I I建匸OSPF鄰居關系花費的 時問會更長一些。缺省情況卜，說捷交換機的所有OSPF接I 1都是Broadcast類吃。（2）OSPF接口 hello間隔和鄰居死亡間隔OSPF接I I使用hello報文來發(fā)現(xiàn)鄰居和維持鄰居關系，在鄰居死亡間隔內(nèi)沒有收到対 端冋復的OSPF報文，將會宣告鄰居關系解除。缺省情況卜，銳捷交換的hello間隔為10 秒，鄰居死亡間隔4倍hello間隔，也就是40秒。（3）OSPF接II優(yōu)先級OSPF接【I優(yōu)先級用J - Broadcast鏈路上的DR和BDR選

33、擇,在某些情況F，是需要通 過調(diào)整接1優(yōu)先級來保證DR和BDR位置的。這里簡單介紹一下DR和BDR在OSPF的廣播網(wǎng)絡鏈路上的作用和選舉機制，人家知道 在點對點鏈路上OSPF的鄰居只會有一個，也就是說只需耍建立一個鄰居關系即叮。但是在 廣播鏈路上，曲可以同時存在多個OSPF路宙器，那么會石要維護人磺的鄰居關系。例如 在一個擁冇3臺路由器的廣播鏈路上需要建立3個鄰居關系，但是在一個擁冇4臺路由器 的廣播鏈路上就會盂要建工6個鄰居關系，對一個擁有N臺路由器的廣播鏈路來說，比鄰 關系的數(shù)就為NX（Nl）/2。維護過女的鄰居關系會消*£人彊的路山器資源和鏈路帶寬。 為了減少這種消耗，就出現(xiàn)了

34、 DR和BDR的概念。DR和BDR類似丁廣播鏈路的領導者 和中轉(zhuǎn)站，用J：建龍和維護普通路由器的鄰居關系，這樣就人人減少了鄰居關系的維護乗。由此可以看出DR和BDR在廣播懺路中的作用，對f一個路由器數(shù)帛:較多的OSPF廣播 網(wǎng)絡來說，保持DR和BDR的穩(wěn)泄性是非常車耍的。同時由J'- DR利BDR維護著這個網(wǎng)絡 的鄰居關系，因此其性能要求也會高J：普通路山器，-般DR和BDR都會選擇相對高端的 設備。此時如果使用自動選舉的方式，可能最終選舉出的DR和BDR不是我們希電獲得的結 果，因此使用端I I優(yōu)先級進行調(diào)整來進行人匸指定是工程中必耍的手段。更改接I參數(shù)只體配置如卜:（1）更改OSP

35、F網(wǎng)絡類型:命令含義Switch(config)# mterface vlan 10進入OSPF接門VlanlOSwitch(config-if)#ip ospf netwoik pomt-topoint將此接門的OSPF網(wǎng)絡類型更改 為 point-to-point（2）修改OSPF接I I hello間隔和鄰居死亡間隔命令含義Switch(config)# mterface vlan 10進入OSPF接門VlanlOSwitcli(config-if)#ip ospf hello-mteival 5將此接【1的OSPF的hello間隔修 改為5秒一次Switch(config-if)#ip

36、 ospf dead-intervral 30將此接II的OSPF的鄰居死亡間 隔修改為30秒超時。注意:修改接口網(wǎng)絡類型和hell。間隔都有可能造成OSPF鄰居關系無法建立,請謹慎使用。如有特殊需求,請聯(lián)系銳捷網(wǎng)絡工程師。（3）通過調(diào)整接I I優(yōu)先級來控制DR和BDR的選舉BDRDR圖6-8控制DR和BDR的選舉如上圖，兩臺S6806E和三臺S3550-24在一個廣播型網(wǎng)絡中這種情況卜如果不作調(diào)整的話，性能較差的S3550仃可能被選舉成DR和BDR,但是我們希型S6806E-1成為DR,S6806E-2成為BDR.因此需要使用端I I優(yōu)先級來控制選舉過程。幾體配登如下：S6806E-1的配屋

37、:命令含義S6806E-1 (config)# lilt Gl/1進入6806E-1的以太1 1S6806E-1 (coiifig-if)# ip ospf pnonty 255設置此接口的OSPF優(yōu)先級為255 , 保證其成為DRS6806E-2的配皆I命令含義S6806E-2(config)# Int Gl/1進入6806E-2的以太11S6806E-2 (config-if)# ip ospf priority 254設置此接1 1的OSPF優(yōu)先級為254, 保證其成為BDR比它S355O使用缺省的Ip ospf priority (ft (缺省為1).通過以上設6806E-1瑕終會成為

38、DRjflJ 6806E-2成為BDR實現(xiàn)原仃的設汁。第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署6.5.2 OSPF的認證：區(qū)域認證和鏈路認證在前面章節(jié)講述OSPF基本安全時，介紹了一種針對OSPF的攻擊方法，那就是接入一 臺路山器進入OSPF園區(qū)網(wǎng)絡，并使其OSPF進程處J：不穏定的狀態(tài)當中，從而彩響OSPF 全網(wǎng)的穩(wěn)定性。那么如何防范未授權的OSPF路由器進入網(wǎng)絡呢，答案就是開啟OSPF的認 證機制。OSPFV2 兩種認證機制：一種是區(qū)域認證，另外一種是鏈路認證。銳捷網(wǎng)絡設備對J： 這兩種認證方式都支持，卜面將以圖6-9和圖6-10屮的兩臺S3550為例介紹這兩種認證方式

39、 的區(qū)別和配置。需要認證一砲S3550-1 F0QAREA0、需要認證第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署圖6-9開啟區(qū)域認證后(1) 區(qū)域認證:OSPF的區(qū)域認證一 I I.開啟，那么在此路由器hto 此區(qū)域的所有OSPF接II都會進行認 證操作，一鄰居發(fā)送的OSPF報文無法通過認證，將導致鄰居關系被解除。圖69中,在S3550-1和S3550-2上開啟Area 0的認證，那么包含在Area 0中的兩條鏈 路的認證開關都被打開。需要認證=嚴 ARE"S3550-1 F0/2不需要認i圖6-10開啟鏈路認證后(2) 鏈路認證：OSPF的鏈路認證開啟后，只會影響

40、當前開啟認證的接I Io從此OSPF接I I接收到的所 有OSPF報文都需要認證。圖6J0中,在S3550-1和S35502匕開啟了 F31接口的認證,那么認證僅僅會發(fā)牛在 F0/1接I I.但是在F0/2接I I上認證開關并沒有打開，因此不需要認證。（3）認證報文方式：在區(qū)域認證和鏈路認證配置過程中可以選擇兩種認證報文的發(fā)送方式，第種足明文方式.第二種是MD5的加密報文方式。在實際工程中，銳捷網(wǎng)絡推薦OSPF認證全部采用MD5加密報文的方式。區(qū)域認證的只體配置以S3550-1為例：命令含義S3550-l(coiifig)router ospf進入OSPF進程S3550-1 (config-r

41、outer)#area 0 authentication message-digest開啟 OSPF Area 0 的 MD5 認證S3550(config.if)# mteiface fastEthernet 0/1進入接【1 F0/1S3550-1 (coiifig-if)# ip ospf message-digest-key 1 md5 ig在接1丨F0/1上設置認證密碼rgS3550-1 (config-if) mteiiace fastEthernet 0/2進入接1 1 F0/2S3550-1 (coiifig-if)# ip ospf message-digest-kev 1

42、md5 ig在接II F0/2上設宣認證密碼rg注意區(qū)域認證一旦開啟,就要在所有包含到此區(qū)域的接口上設置認證密碼。鏈路認證的其體配豐仍然以S3550-1為例:命令含義S3550-l(coiifig-if)# uiteiface fastEthernet 0/1進入接【1 F0/1S3550-1 (coiifig-if)# ip ospf authentication message-digest在接II F0/1上開啟鏈路 認證S3550-l(coiifig-if)# ip ospf message-digest-kev 1 md5 rg在接II F0/1上設置認證密碼rg第6章園區(qū)網(wǎng)OSPF

43、觀劃與部署6.6 OSPF的驗證與排錯在工程屮配豐完一個OSPF網(wǎng)絡ZCi,盂耍對OSPF的運彳J：狀態(tài)和參數(shù)進彳亍驗證和排錯, 銳捷網(wǎng)絡設備為人家提供了多種工貝來達到這一口標，木章節(jié)將為人家提供OSPF驗證和排 錯的基本流程。6.6.1 OSPF常用的驗證方法：靈活使用三條show命令（1）Show ip ospf neighbor:這是最常用也是呆容易被忽視的一條命令。在實際工作屮，OSPF出現(xiàn)問題時應該使用到的第一條命令就是它。因為力變不離英宗,不管OSPF出什么問題，都應該從最基礎的鄰居關系開始考慮尼下面來看看此命令的輸出:Switch#sh ip ospf neighborNeigh

44、bor IDPnStateDeadTune AddressInteifoce22.2.2100904FaO/1這條命令小為我們臉證和排錯提供的最仃用的三個信息是:Neighbor IDState（鄰居的 Router-id）（當前鄰居關系的狀態(tài),共有五種,正常狀態(tài)應該是filll,但是在廣播型 鏈路上，DROTHER路由器2間的狀態(tài)會停留在Two-wavo）Iiiteiface（通往鄰居的接II信息）(2) Show ip ospf interface此命令用檢査加入OSPF進程的接I 1配置，在進行OSPF鄰居關系排錯時卄常冇用 卜面將對輸出信息的亜點部分進行講解：1第6章園

45、區(qū)網(wǎng)OSPF觀劃與部署1第6章園區(qū)網(wǎng)OSPF觀劃與部署FastEtliernet 0/1 State : UpIuteinet address:/24Area:o.o.o.oRouter ID:Network TypePointToPomtCost:1Switch#show ip ospf interface接口狀態(tài)：是否UP網(wǎng)絡類型：兩種 broadcast 和 PointToPoInt cost :此鏈路在OSPF中的cost值1第6章園區(qū)網(wǎng)OSPF觀劃與部署PomtToPointTiansnut DelayState1第6章園區(qū)網(wǎng)OSPF規(guī)劃與部署第6章園區(qū)網(wǎng)

46、OSPF規(guī)劃與部署PriorityDesignated Router(ID) DR*s Interface address:1優(yōu)先級:No DR on this networknoneBackup designated ioutei(ID): No BDR on this networkBDR's Inteiiace addressnoneAuthenticationHelloDeadRerransnutHello Due inPassive statusDatabase-filtei all outnone520500:00:01DisabledDisabled接口競選DR使用的優(yōu)先

47、級 當前網(wǎng)絡的DR是誰當前網(wǎng)絡的BDR是誰是否打開鏈路認證接口的hello間隔接口的鄰居死亡間隔接口是否被passive(3) Show ip ospf這條命令用J査看本路由器的OSPF進程信息和配置參數(shù)，對OSPF的驗證和排錯非 常右意義，其捉供的信息非常豐富，卜而將選擇具中較為巫耍的部分做講解：Switch# show ip ospfRouter IDRouter TypeSupport TosNumber of external LSAExternal LSA Checksum SumNumbei of areas in tins louter: 2Number of normal ar

48、ea Number of stub area Number of lissa area Minunum LSA Inteival Mmunum LSAAmval SPF Delay SPF-holdtmie LsaGioupPacing Adnumstiative distance Inter-area Distance Intia-aiea Distance External Distance:ABR:Single Tos(TosO):0:0x0:2:0：0:5:1:5:10：240:no:no:no:no路由器的Router-id路由器的類型:ABR,ASBR或normal當前OSPF協(xié)議的管理距離RFC 1583Compatibility flag : Enabled Default-mforniation originate : Disabled Neighbor Changes Log: EnabledAuto-Cost Status